本篇为安全静态分析第二篇,简单介绍了AST是什么、AST语法、以及基于AST来做SQL注入检测的原理及代码实现了解ASTAST 是一个树状结构,其中每个节点表示源代码中的一个语法结构,如表达式、语句、...
Web.config数据库字符串解密记录及批量dll反编译技巧
△△△点击上方“蓝字”关注我们了解更多精彩0x00 简介1、web.config中加密数据库连接字符串的解密记录2、一些非专业的、有用的、dll逆向技巧。0x01 分析web.config内容分析配置...
XG拟态-Webshell流量混淆功能
一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚流量混淆 XG拟态_V2.0新增流量混淆功能https://github.com/xiaogang000...
实战渗透BC从XSS到上线
文章正文 前言 最近闲来无事,好久也没实战了,直接找BC开刀,最后全靠XSS上线。 信息搜集 首页如下,我随手输入一个admin 123456,果然没有奇迹发生 点击忘记密码,输入admin...
B/S框架的从业者,应该注意的API安全风险Top10
API已成为构建和连接现代应用程序的事实标准。就目前而言,越来越多的应用程序转向基于微服务的架构更是助推了这一趋势。因此,确保公司开放Web应用程序免受API安全风险的侵扰至关重要。本文盘点API安全...
实战 | 一文教你如何绕过统一认证拿到赏金
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! 公众号现在只对常读和星标的公众号才展示大图推送, 建议大家把 明暗安全 设为星标,否则可能就看不到啦! 1.漏洞背景 统一认证...
无线AP胖瘦区别是什么?
动动大拇指快快关注哦 无线AP胖瘦区别是什么?通常情况下,无线AP主要分为两种,一种是胖AP,另一种是瘦 AP,从外形上我们很难加以区分,只能从工作原理和...
solr XML外部实体注入(CVE-2017-12629-xxe)
一、漏洞编号 二、影响范围 三、漏洞描述 四、环境搭建 1、进入CVE-2017-12629环境 2、启动CVE-2017-12629环境 3、查看CVE-2017-12629环境 4、访问CVE-2...
实用的业务逻辑漏洞
本文由掌控安全学院 - 杰斯 投稿 业务逻辑漏洞 1.暴力破解测试 2.Session 会话固定测试 3.Seesion 会话注销测试 4.Seesion 会话超时时间测试 5.Cookie 仿冒测试...
[严重漏洞分享]10秒实现0元支付的奥秘
小声BB由于小号限制了一天只能发一篇推文,所以今天的靶场连续剧停播一天,插播一则严重漏洞。昨天的靶场推文脚本存在问题,经修复后重新补发一下源码:import requests,time,re#靶场域名...
浅说AMF反序列化及利用链构造
点击上方·关注我们吧首先查看常规项目中,amf的配置入口,MessageBrokerServlet类处理/messagebroker/*请求接下来跟下去查看流程,在MessageBrokerServl...
安全运营之安全加固和运维
安全运营是一个将技术、流程和人有机结合的复杂系统工程,通过对已有安全产品、工具和服务产出的数据进行有效的分析,持续输出价值,解决安全问题,以确保网络安全为最终目标。安全加固和运维是网络安全运营中的两个...
5578