免责声明： 本程序只用于管理员安全检测，使用前请注意环境与法律法规，因使用不当造成的后果本人不承担任何责任。 已测试的系统： win2003+iis6+.net 2.0 win2008+iis7+.n...

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共...

前段时间owasp发布了owasp 2013 top 10 的英文版，今天收到了 owasp 中国发布的owasp top 10 2013中文版，共享给大家。 OWASP 2013 英文版地址： ht...

之前本站科普了文件上传漏洞中关于客户端JS验证，服务端MIME验证，以及服务端目录路径验证等文章，今天我们科普一下关于服务端扩展名验证的绕过。服务端扩展名的绕过使用的还是比较多的，很普遍。 服务端扩展...

作者： 阮一峰 日期： 2016年4月 8日 浏览器安全的基石是"同源政策"（same-origin policy）。很多开发者都知道这一点，但了解得不全面。 本文详细介绍"同源政策"的各个方面，以及...

今天无意中看到园长MM发的DedeCMS recommend.php 注入利用工具，找了个站测试了一下，发现获取不到内容，郁闷了一下。 拿园长的工具来改改，改成PHP版的，喜欢的拿去。。。 关于漏洞的...

相信N多菜菜在测试.NET网站的时候都会遇到拿到了shell却找不到数据库连接密码的情况，还好乌云的大牛给我们科普了一下这方面的知识，本文转过来分享给大家，原文名称为：《【.NET小科普之一】数据库信...

小编的话 《安全参考》2015年01月第25期，也是2015年的第一期终于又如约跟大家见面了！ 同样，为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。 小伙伴们，让我们一起分享这...

前几天小弟博客更新了文件上传漏洞的各种验证绕过方法，今天终于到了最后一篇了，科普文到此结束，希望大家能学习到一点东西，继续支持小站。 关于文件上传过程中图像大小及相关信息检测，通常我们会使用getim...

最近比较忙，一直没有时间更新博客，今天抽了点时间看了看乌云，看到了篇关于phpcms2008的老文章，文中提及了不少的EXP，发现其中的一些EXP我有的，但是也有一个没有，所以马上整了一个，把我没有的...

一、php://input一句话木马 在调研dedecms的历史漏洞时，发现了dedecms安装文件曾经出过被植入后门的漏洞（SSV-ID站点include目录下shopcar.class.php文件...