独自等待

DNS区域传送（DNS zone transfer）指的是一台备用服务器使用来自主服务器的数据刷新自己的域（zone）数据库。这为运行中的DNS服务提供了一定的冗余度，其目的是为了防止主的域名服务器因...

最近strtus2漏洞爆发，严重影响了网站安全，很多站有提供测试工具，当然不排除本站，但是却少有人提及修复方案，今天看到了91ri.org上面的修复方法，转过来共享之，修复方案原作者为空虚浪子心。本站...

本地电脑上安装的MS SQL Server 2008 R2可能因为硬盘原因，导致SQL Server服务无法启动，在事件查看器中看到若干错误和信息，其中有两条提示可能master损坏： 1、错误：传递...

这个是比较老的漏洞了，在Mr.LP博客看到了，利用此漏洞可以进行注入或者直接Getshell，很好很强大。 利用方法： 第一个：想办法找到目标网站的绝对路径 http://www.waitalone....

这个漏洞是我们在进行非授权安全评估时候发现的。是一个ecshop的站，通过以往的0day爆出了管理员密码，无奈解不开。。。于是就想，有没有可能将密文md5存入cookie中登陆。 当然，上面假想的问题...

XSS跨站脚本攻击危害越来越严重，在盲打满天飞的时代，我们如何防御XSS跨站脚本攻击呢？ 根据我们的经验是，一切输入都是不可信的，那么我们需要对用户的输入进行过滤，然后再对向网页的输出进行编码。 各脚...

看了很多乙方同学们写的业务安全，总结下来，其出 发点主要是在技术层面风险问题。另外捎带一些业务风险。今天我要谈的是甲方眼里的业务安全问题，甲方和乙方在业务安全的视野上会有一些区别和一些重合。在 同一个...

昨天Struts漏洞大爆发，N多大站被爆出存在strtus2漏洞，百度，百合，京东等也在其中，本站也等一时间发布了strtus2漏洞的预警，具体文章请看 struts2最新s2-016代码执行漏洞 –...

前言 最开始是11月27号，突然看到一枚补丁。说是前台上传头像可getshell.立马被吸引住了。通过两份补丁的对比，发现在处理压缩包的过程中出现了一段删除当前文件夹下的全部文件夹。然后就菊花一紧。通...

好久没有写php版的exp脚本了，最近写了个phpcms authkey注入的exp，有小伙伴就问了，我的php脚本是否忘了写结束标记了。看来好多朋友可能对这个问题不甚了解，我也不是太了解，网上转个文...

今天在写一个ASP+MSSQL2005注入点的时候，数据库暴错：[DBNETLIB][ConnectionOpen(Invalid Instance())] 无效的连接，原文代码请见构造ASP注入点这...

mysql暴错注入方法整理，通过floor，UpdateXml，ExtractValue，NAME_CONST，Error based Double Query Injection等方法 1、通过fl...