0x00 相关背景介绍 随着互联网web和信息技术的发展,在web后端作为存储和管理的的数据库也得到了广泛的应用,与web结合较为紧密的数据库包括Mysql,Sqlserver,Oracle,Sqll...
常见验证码的弱点与验证码识别
2013/06/08 11:36 | insight-labs 0x00 简介 验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤...
解密JBoss和Weblogic数据源连接字符串和控制台密码
0x00 背景 现在越来越多的站喜欢用java语言的框架做web应用了,这里应用有很多大型站点经常采用jboss或者weblogic做web服务器。出于安全原因,他们都提供把数据源连接密码以及web服...
【转载】PHPwind 7.5 sp3 后台拿shell
作者:meao 出自:www.secmao.tk 常规设置:站点地址和管理员邮箱处插入代码 站点地址:http://''''''''''''''''''''''''''''''''''' 管理员邮箱:...
【事件】围观网易126邮箱再次被黑/路过
http://img1.126.net/channel9/test/1.txt 2010-7-30 15:01:31 检查 黑页依然存在,不过黑页内容变成了“test”文章来源于lcx.cc:【事件】...
【Oday】凹丫丫新闻发布系统注入Oday
系统主要漏洞是cookie注入,总的有两处,我们先来看看防注入代码: Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name '------...
waf绕过的14种方法总结及工具介绍
什么是WAFWeb应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,旨在检测和阻止Web应用程序上的网络攻击。WAF作用于OSI模型的应用层。渗透测试时...
weblogic“伪随机”目录生成算法探究
0x01 背景说明 我们在渗透测试过程中,可以很容易发现weblogic的 server name一旦被修改,其web应用有一个目录就会发生改变,导致我们在部署war拿shell时受阻。 比如bea_...
编写AWVS脚本探测web services
最近一直在做渗透测试,发现在使用AWVS去扫描一个使用web services的网站时。最后的扫描结果并没有web services。然而web services由于经常出现一些问题,故我们很有必要去...
发现Web Services存在注入,无法用sqlmap怎么办?
如何对Web Services服务进行注入? 我们都知道sqlmap等一些工具不能对web services服务进行注入,因为web services使用的是SOAP协议,与我们提传统的http协议有...
web.py 使用不当可能造成代码执行
"web.py使用不当可能造成代码执行" phith0n (我也不会难过 你不要小看我) | 2014-07-15 00:31 实话说我标题党了,这只是一个小tip,不能算漏洞(因为我想swart就是...
利用第三方不可信站点进行攻击,论一个冷门却有潜力的WEB攻击手法
论一个冷门却有潜力的WEB攻击手法 Black-Hole (我12破处) | 2014-06-11 13:40 外部调用JS/CSS来实现WEB渗透 前言:大家都知道,现在入侵方法很多,比如SQL X...
125