欢迎来到 无奈人生 安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
广告位招租 广告位招租 广告位招租 广告位招租 广告位招租
  • 如何绕过Duo的双因素身份验证
  • 写在前面的话通常,在执行渗透测试时,一般通过远程桌面协议(RDP)连接到系统。我通常使用rdesktop或xfreerdp连接到主机,一旦获得凭据就可以为所欲为了。我最近碰到一件很操蛋的事就是一个我的客户端使用Duo保护对Windows上的......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 深入了解Json Web Token之实战篇
  • 本来想用python DRF 的 JWT做,后来各种失败。最终尝试了用Php,发现非常便利。PHP 版本 PHP 7.2.4-1+b2 (cli),也就是kali linux自带的php,至于composer的安装方法,以及各个库的使用方法......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 你知道吗?图形验证码可能导致服务器崩溃
  • 图片验证码是为了防止恶意破解密码、刷票、论坛灌水等才出现的,但是你有没有想过,你的图形验证码竟然可能导致服务器的崩溃?那他是如何导致的呢?请听我婉婉道来。先看看各大平台对待此漏洞的态度:利用过程这里以phpcms为例,首先需要找一个图形验证......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 搭建dvwa环境学习从MySql注入到GetShell
  • 一转眼从刚开始看关于安全的基础书籍到现在已经十个月的时间了,对渗透测试的兴趣也不断的增加,由于刚开始工作的需求,只来得及看一些常见漏洞的基本原理就开始跟随老师傅开始渗透测试的工作。现在还记得第一次自己发现 xss激动的心情,师傅领进门,学习......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 通过APACHE ACCESS LOG来利用LFI漏洞
  • 本地文件包含(LFI)漏洞,常被入侵者用来提取站点所在服务器上的不同文件内容,如passwd,hosts等。但你有没有想过将它提升到另一个层级?即通过本地文件包含来获取服务器上的浏览器shell(c99,b374k等)。本文也将就此展开讨论......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • DedeCMS v 5.7 sp2 RemoveXSS bypass
  • DedeCMS 简称织梦CMS,当前最新版为 5.7 sp2,最近又去挖了挖这个CMS,发现过滤XSS的RemoveXSS函数存在缺陷导致可以被绕过。相关环境源码信息:DedeCMS-V5.7-UTF8-SP2 漏洞类型:反射型XSS 下载......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 谈谈我所了解的WEB代理
  • 在这里,和大家聊聊我自己所知道的一些关于Web代理的知识。WEB代理的类型Web代理,有普通代理和隧道代理两种,下面简单说说这两种类型。普通代理该类型最为简单,代理服务器作为中间人,转发客户端的HTTP请求给目标主机,之后将目标主机的HTT......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • Web安全实战系列:文件包含漏洞
  • 《Web安全实战》系列集合了WEB类常见的各种漏洞,笔者根据自己在Web安全领域中学习和工作的经验,对漏洞原理和漏洞利用面进行了总结分析,致力于漏洞准确性、丰富性,希望对WEB安全工作者、WEB安全学习者能有所帮助,减少获取知识的时间成本。......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • SMTP用户枚举原理简介及相关工具
  • SMTP是安全测试中比较常见的服务类型,其不安全的配置(未禁用某些命令)会导致用户枚举的问题,这主要是通过SMTP命令进行的。本文将介绍SMTP用户枚举原理以及相关工具。SMTPSMTP命令若服务器未禁用某些特殊命令,则可以利用这些特殊命令......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...
  • 基于时延的盲道研究:受限环境下的内容回传信道
  • 在一次漏洞赏金活动中,挖到个命令注入的洞,我先以时延作为证明向厂商提交该漏洞,厂商以国内网络环境差为由(的确得翻墙)拒收,几次沟通,告知若我能取回指定文件 secret.txt 才认可。目标是个受限环境:禁止出口流量、NAT 映射至公网、无......
  • 所属分类:WEB安全 更新时间:2019-02-24 21:00:07 阅读数:0 阅读全文...

  • 本类最新更新
    • 本类推荐内容
      • 本类热点内容
        • 最近下载