在前段时间,我在我博客的模板上加入了后门(JavaScript),今天去除,并将思路简单的写出来。
11月24日464 views评论javascript
后门
我为何在博客模板留后门
11月24日464 views评论javascript
后门
11月24日464 views评论javascript
后门
Web安全测试学习手册-业务逻辑测试
首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已...
11月24日410 views评论web
测试
iOS URL Schemes与漏洞的碰撞组合
二维码登陆的常见缺陷剖析
现在很多的电商平台和互联网型企业都有自己的手机APP,为了方便用户的体验,于是就有了”扫码登陆”这样的功能。看似扫码登陆,实际上还是基于HTTP请求来完成的。
11月24日489 views评论二维码
扫码
打造Mac下APK逆向环境到实战接口XSS挖掘
想尝试逆向APK来发现一些接口和安全问题,但是Mac下没啥好用的APK逆向工具,于是我就参考文章:https://blog.csdn.net/jyygn163/article/de...
11月24日523 views评论xss
逆向
读取型CSRF-需要交互的内容劫持
最近在挖洞,”实践出真知”这句话说的很对,在实际挖掘过程中我会思考很多东西,跟朋友一起准备做一份手册,忽然的想到了一些漏洞的定义和规范。 在大多数的人眼里CSRF可能仅仅是写入型的...
11月24日399 views评论csrf
漏洞
一探短文件名
OAuth2.0认证缺陷-第三方帐号快捷登录授权劫持漏洞
OAuth2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HT...
11月24日663 views评论oauth
认证
鸡肋点搭配ClickJacking攻击-获取管理员权限
有一段时间没做测试了,偶尔的时候也会去挖挖洞。本文章要写的东西是我利用ClickJacking拿下管理员权限的测试过程。但在说明过程之前,先带大家了解一下ClickJacking的...
11月24日460 views评论权限
管理员
浅析通过'监控'来辅助进行漏洞挖掘
文件寄生——NTFS文件流实际应用
NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,windows资源管理器默认不显示出文件的命名文件流,这些命名的文件...
11月24日592 views评论txt
文件
移位溢注:告别依靠人品的偏移注入
在Access数据库类型注入的时候,我们获取不到列名(前提是有表名),一般会选择使用偏移注入,但是这种注入方式往往借助的是个人的人品,且步骤繁琐。本文中我们研究了一种新的注入技术让...
11月24日622 views评论table
注入
7