代码执行代码执行:未严格过滤用户输入的参数,导致用户可以通过传参在web服务器上执行恶意代码.可变函数:一个变量名后面如果有圆括号,php将寻找与变量值同名的函数并尝试执行.evaleval:将一个字...
车联网安全常见安全术语(基础篇)
0x01 车端 车联网(IoV,Internet of Vehicle)是移动互联网和物联网相融合的技术,它囊括了所有通过后装或者原厂配置无线...
绕 waf 实战之 xss 漏洞利用
文章来源https://shellbr3ak.medium.com/xss-waf-bypass-128e8b4167fb在一次测试中,遇到一个可以利用 XSS 的点,但是存在 BIG-IP ASM ...
一款精简的webshell管理工具 Assassin
一、工具介绍Assassin是一款精简的基于命令行的webshell管理工具,它有着多种payload发送方式和编码方式,以及精简的payload代码,使得它成为隐蔽的暗杀者,难以被很好的防御。工具短...
bypass payload list
→ssrf.php?url=http://127.0.0.1:22→ssrf.php?url=http://127.0.0.1:80→srf.php?url=http://127.0.0.1:443→...
演讲议题巡展|智能WEB安全攻击系统
KCon 2022 的演讲议题已尘埃落定接下来的一段时间我们将陆续对演讲议题进行展示并展出议题亮点及演讲人简介敬请关注PS:议题展示顺序不分先后~为使 KCon 首届云端大会能为大家带来更好的体验,议...
【学习记录】编写初级SQL注入爆破脚本
#学习于某视频import mathimport optparseimport threading,requestsparser = optparse.OptionParser()parser.usa...
一款精简的webshell管理工具 Assassin
项目作者:b1ackc4t项目地址:https://github.com/b1ackc4t/Assassin一、工具介绍Assassin是一款精简的基于命令行的webshell管理工具,它有着多种pa...
文末送书 | 一款被动测试sql注入点的bp插件
项目地址作者:smxiazi地址:https://github.com/smxiazi/xia_sqlxia SQL (瞎注)本插件仅只插入单引号,没有其他盲注啥的,且返回的结果需要人工介入去判断是否...
一款功能强大的SQL注入漏洞扫描工具
Jeeves是一款功能强大的SQL注入漏洞扫描工具,在该工具的帮助下,广大研究人员可以轻松通过网络侦查等方式来寻找目标应用程序中潜在的基于时间的SQL盲注漏洞。关于盲注盲注分为两类:1、布尔盲注:布尔...
Burp Suite —— 验证码识别、切换IP
作者:掌控安全——JARVIS如果你还是小白看不懂没关系,可以先收藏,之后会用到的!burp是学渗透必须要会的一个工具,其从安装到运用有相关的视频,可文末扫码领取.验证码识别前言Burp Suite是...
Struts2全版本漏洞自查工具19.02by:ABC_123
粉丝加入群聊获取更多资源 群号:1019462479 Struts2全版本漏洞自查工具19.02by:ABC_123 文章限时删除严禁用于非授权的测试及非法用途! 功能介绍 点击“检测漏洞”,会自动检...
88