前言 当所有的系统安全防御做好后，剩下恐怕就是SQL注入，跨站攻击等等web应用层防御了，这也是广大站长最困扰的东东了，几日前写的“安全宝构架技术猜测与高级网络安全防御”讲解了一种最简单的高性能防御方...

描写sql注入利用方法的文章数不胜数，本文将描述一种比较特殊的场景。 细节 在一次测试中，我碰到了一个sql注入的问题，在网上没有搜到解决办法，当时的注入点是在limit关键字后面，数据库是MySQL...

博文作者：Mark4z5 发布日期：2014-09-23 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源...

乌云N早以前就爆出来的漏洞，详见http://www.wooyun.org/bugs/wooyun-2012-010072 最近我在学习php，就是为了写些个小工具出来玩玩，就拿了这个最简单的漏洞来练...

昨天，我发布了[Python]DVWA表单破解单线程版，看到这个标题想必大家已经知道了，后面肯定还有[Python]DVWA表单破解多线程版，那么恭喜你，答对了，今天给大家分享的就是[Python]D...

0x00 前言 PHPCMS V9（后面简称V9）采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP（面向对象）方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展，代...

PHPCMS V9会员中心会员资料修改处未正确处理，导致SQL注入漏洞，最早好像是T00LS上面发的，最后有人转到乌云上面，官方已经修补好了漏洞，请使用此CMS的用户尽快升级。可能很多大牛都有EXP了...

所有使用PHPCMSV9搭建的网站均存在SQL注入漏洞，可能使黑客利用漏洞篡改网页、窃取数据库，甚至控制服务器。SQL注入漏洞存在于PHPCMS V9版本（包括GBK和UTF8版）的poster_cl...

公司的渗透测试主要面对的国内互联网企业，经常遇的到discuz，所以写个discuz的账号密码爆破工具。 说明： 1.支持discuz X1/1.5/2/2.5/3/3.1 等版本。 2.程序会自动判...

1、NMap工具 主要功能：探测主机是否在线、扫描主机开放端口和嗅探网络服务，用于网络探测和安全扫描。 NMap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ft...

从freebuf淘来一些WAF Bypass技巧，转发过来，希望对兄弟们有用。 研究过国内外的WAF。分享一些 奇淫绝技。 一些大家都了解的技巧如：/*!*/,SELECT[0x09,0x0A-0x0...

dedecms最近太火了，只是哥测试了几个站没有一个成功的，所以也就没有上心了，今天在核总的站上面看了一个exp，getshell的，转过来凑个热闹。 其实getshell 方法很多 不要一直纠结 怎...