独自等待

帮朋友打个小广告，欢迎小伙伴们投稿哦。。。 亲爱的白帽子们，为了进一步提升先知社区技术交流的氛围和活跃度，先知技术社区特推出原创文章奖励计划，详细规则如下： 原创文章征集计划： 1、我们关注的原创文章...

首先认识一下小马，一般大马容易暴露，骇客都会留一手，把小马加入正常PHP文件里面 //密码为a,使用中国菜刀连接 隐藏很深的小马 fputs(fopen(chr(46).chr(47).chr(97)...

关于XSS跨站脚本攻击的科普其实已经有人写的相当详细了，但是小弟还是要在这里献丑一下，目的主要是为了配合本站之前发布的SQL注入攻击科普文章，主要是为了我懂小弟学习方便，既然是科普文，那么我写的肯定是...

之前写了一个python ftp暴力破解工具，发到习科上面了，结果好多人说要我写一个mysql和mssql的工具，最近实在忙一直没有时间写，昨天晚上折腾了一个单线程版本的，先发出来给大家玩一下，这个工...

0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。遇到这种情况...

为了测试WAF，要写一个ASP+MSSQL2005的注入点，自己又不会ASP，于是网上查到了这个文章，文章虽然很老，但是方法却是比较实用的。 首先你要拿了一个webshell，这样你找到连接数据库的文...

apache官方安全公告页面： http://struts.apache.org/development/2.x/docs/security-bulletins.html 其中涉及代码执行的漏洞有：S...

本文为习科科普贴，详述如何查找网站后台的方法，分享给大家，希望对大家有用。 1、穷举猜解 现如今可以暴力猜解网站后台登陆地址的软件有很多，从最早的啊D注入工具开始，一直到现在很多常用的工具(通常为SQ...

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共...

其实博客一直被电信给劫持广告，很烦，但是也不想动手折腾，忙完双11，空了点，花一天时间把博客给折腾了一下，开启https访问模式，收藏小弟博客的兄弟们，请重新保存一下链接地址。。 好久没有发布过关于博...

由于条件有限，没有钱弄VPS，只能用朋友的windows主机，但是wordpress在IIS环境下无法实现伪静态，很是郁闷。经过长时间的搜索，终于在国外大牛的博客上面发现了一个针对windows主机的...

分享点破晓团队发的漏洞挖掘经验，大家认真看，好好学习哦。以下内容转自破晓公众号，请自行关注。微信号：secbugs 因为平时工作忙，所以没有太多时间、经历去弄其他的事情，这个经验分享也算是姗姗而来吧！...