利用xmlrpc.php来进行账号的暴力破解,原文:https://blog.sucuri.net/2015/10/brute-force-amplification-attack...
请求伪造(update 20170208)
其他的场景的例子有时间再写,比如cookie在网络中被劫持… 作者:呆子不开口
MetInfo多处框架缺陷(一键Getshell)
首先列举所有利用到的缺陷 全局参数可被污染 无CSRF防御框架 $_GET,$_POST, $_COOKIE请求被合并处理 特殊的XSS
深入了解HTTP请求(渗透必备)
随着Web2.0时代的到来,互联网从C/S(客户端/服务的)架构转变到B/S架构(浏览器/服务器),如果我们访问一个网站,只需要在浏览器中输入URL即可。
Weblogic漏洞【CVE-2017-10271】复现 附POC
附带文件上传&&命令执行(猥琐命令回显方法)POC 注意的是,在发送请求的时候,在请求头中必带Upgrade-Insecure-Requests: 1 以及Cont...
WireShark黑客发现之旅(3)—Bodisparking恶意代码
作者:Mr.Right、Evancss、K0r4dji申明:文中提到的攻击方式仅为曝光、打击恶意网络攻击行为,切勿模仿,否则后果自负。
响应变参数-挖掘潜在的逻辑越权
开始对一个网站做测试的时候发现了这样一条请求:这条请求返回的是个人信息(用户ID、手机号、密码){"responseData":{"userid":"用户id","login":"用户名","pass...
12