越来越多的人能够接触到互联网。这促使许多组织开发基于 web 的应用程序,用户可以在线使用这些应用程序与组织进行交互。为 web 应用程序编写的糟糕代码可能被利用来获得对敏感数据和 web 服务器的未...
app安全之反编译(一)
以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过web api服务的方式跟服务...
网络安全与渗透工具
说明:节日期间没怎么研究技术,也没有合适的内容给大家分享,今日分享一些平日整理的一些工具指南等内容吧。其中罗列了很多工具,如有需要的,可随时联系我获取。整理不易,如觉得有帮助,记得收藏+点赞哦入门指南...
在MSSQL注入中学到的新姿势
0x01 前言在一次MSSQL注入过程中,目标WEB应用过滤了substring()且不能使用AND、OR语句。通过查询SQL Server官方手册,然后自己利用其它函数的组合,实现了一个新的字符串截...
Springboot 内存shell
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
ABPTTS通过Http隧道上线
一、实战环境简述:实战中经常会遇到目标主机不出网的情况,如果目标机器开放了web服务,可以通过构造正向http隧道进行上线,如果机器处于内网环境,可通过一台可出网的跳板机将其带出去,这只是个人的小想法...
插件分享 | 可以进行web爬虫的Xray插件(文章末尾有福利)
前言:Xray有多香想必大家应该是知道的(上星期在做某演练的时候就用Xray扫到了不少洞)。所以,当时看见Github上有联动Xray的需求,就尝试着写了此插件。本次讲的会稍微仔(啰)细(嗦)一点,希...
为什么很多人特别勤奋,却还是学不好Web安全?
随着网络信息技术的飞速发展和全面普及,国家及企业对网络安全人才求贤若渴。而网络安全职位中,Web安全相关职位占比更高,所以这就决定了Web安全人才在市场上拥有令人眼红的薪资水平,在boss 直聘上1-...
Yii2框架Gii模块 RCE 分析
利用周末时间分析了Yii2框架的一个RCE漏洞,利用了框架可以写PHP模板的功能,控制写入的内容为恶意代码,实现对指定的文件写入php 命令执行语句,调用PHP从而获取系统权限。 ...
3个月从Web安全小白到进入大厂,他是怎么做的
亲爱的,关注我吧9/23来和我一起阅读吧导语:半年,从入门到入职安全大厂,选择,有时候比努力更重要。 大家好,我叫Snial,北华航天工业学院大四学生一枚,目前正在某安全大厂实习。其实我的大学专业并不...
常见web中间件拿shell
1.weblogic后台页面:(http为7001,https为7002)Google关键字:WebLogic Server AdministrationConsole inurl:console默认...
Nginx 在运维领域中的应用,看这一篇就够了
关于 NginxNginx 已诞生十余年,其作为一款开源的 Web 服务器软件,因其具有性能稳定、高并发、低内存耗用、高性能的处理能力等特点,被广泛应用到国内外各互联网厂商的实际生产架构中。其主要有如...
125