独自等待

找真实IP的方法很多，总有一招是有用的。对于多层架构的CDN来说，常见的tracert等方法是找不到真实ip的。 www法 以前我用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是...

相信大家在做渗透测试的时候都有过这样的经历，明明一个XSS的漏洞，但是却有XSS过滤规则或者WAF保护导致我们不能成功利用，比如我们输入alert("hi")，会被转换为，这样的话我们的XSS就不生效...

绕过原理说明： 为了网站SEO方法，默认情况下安全狗开启了搜索引擎爬虫白名单，在白名单里面的关键字都会自动放行，基于此特性，我们就可以找到绕过安全狗的方法了。 那么一般情况下网站是如何识别爬虫的呢？ ...

实例讲解如何利用URL编码绕过WAF防护 SQL注入点 http://www.magrabiyemen.com/contents.php?id=3 字段数为4 http://www.magrabiye...

最近学习python，然后写的练习工具，希望兄弟们喜欢。。 先发一个单线程版的吧，多线程版的明天发出，祝兄弟们中秋节快乐。 Python FTP暴力破解工具单线程版 #!/usr/bin/env py...

1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞...

背景 2015年3月5日，十二届全国人大三次会议盛大召开。李克强总理在《政府工作报告》中多次提到互联网金融，明确指出“互联网金融异军突起”，并提出要“促进互联网金融健康发展”。 中国人民银行原副行长、...

早上逛乌云发现了PKAV大牛的一篇文章，针对php和windows文件上传的分析，思路很YD，果断转之与大家分享。 虽然此文可能有许多的限制条件，但是如果你认真阅读会发现，其实还是比较实用的。 另外一...

最近好忙，一直没有时间更新博客，对不住大伙了。这两天渗透测试一项目，遇到了php168，也就是现在的齐博CMS文章系统的前身。关注了一下php168的漏洞，折腾出来了两个exp发给大家玩玩，喜欢的拿去...

之前发布了Python MySQL暴力破解工具单线程版，今天再补上Python MySQL暴力破解工具多线程版，给有需要的同学们。 这个工具在键盘中止异常方面处理的有问题，不知道是怎么回事，老是捕获不...

Burpsuite介绍 Burp Suite是一个Web应用程序集成攻击平台，它包含了一系列burp工具，这些工具之间有大量接口可以互相通信，这样设计的目的是为了促进和提高整个攻击的效率。 平台中所有...

昨天测试一聊天工具pidgin，登录gtalk，发现老是提示账号已禁用，未认证，测试了N久才找到了解决办法，分享给大家。。 Pidgin介绍： Pidgin（前称Gaim）是一个跨平台的实时通信客户端...