欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 关于SQL注入漏洞的4个误解
  • 预告:如果你对SQL注入方面的攻击与防御技术感兴趣。那么,欢迎你参加我们在3月16号星期五早上九点举办的,免费在线GroupBy会议。 SQL注入已是一个老生常谈的话题,但时至今日仍是我们作为开发人员和数据库专业人......
  • 所属分类:WEB安全 更新时间:2018-03-28 相关标签: 阅读全文...
  • Solveme.peng.kr平台Web题解
  • 前言 最近发现了一个Web练习平台:http://solveme.peng.kr/chall里面所有的Web都是源码审计,感觉网上相关题解很少,于是抽空做了一下,写了一篇文章,欢迎大家和我多多交流! warmup 应该是道签到题 error_repo......
  • 所属分类:WEB安全 更新时间:2018-03-28 相关标签: 阅读全文...
  • 实例讲解False盲注基础原理
  • 0×01 前言 false盲注有些时候可以绕过一些WAF,也是容易被忽视的细节。本文的目的在于通过做CTF的同时来学习注入原理,同时也运用到自身的能力。这里只是简单说一些我自己的理解,也许网上有更好的思路和见解,都是......
  • 所属分类:WEB安全 更新时间:2018-03-27 相关标签: 阅读全文...
  • 在Go中使用反向代理进行网络钓鱼测试
  • 对于一个攻击者来说,要想实施一次网络钓鱼攻击,往往需要做大量的准备工作。例如搭建钓鱼站点,引诱受害者上钩,捕获受害者的登录凭证等。为了避免这些繁杂的过程,本文我将教大家使用Go自动化这些过程。 完整的代......
  • 所属分类:WEB安全 更新时间:2018-03-27 相关标签: 阅读全文...
  • WannaMine新动向:对Weblogic服务端发起大规模攻击
  • 近日,360互联网安全中心监测到挖矿僵尸网络“WannaMine”进行了一次全面更新,目标直指使用Weblogic服务端组件的服务器。该僵尸网络使用Oracle在2017年10月修复的Weblogic反序列化漏洞cve-2017-10271发起攻击,由于......
  • 所属分类:WEB安全 更新时间:2018-03-26 相关标签: 阅读全文...
  • 七亿元学费,教你Unicode钓鱼
  • 一、 币圈不眠夜 3月7日,女生节,同时也是一个不平凡的日子。晚上,小白在电脑面前无聊地上网冲浪,偶尔看看区块链的行情。 大概23点左右,他发现VIA币的行情成了一条垂直向上的红线,仔细一看,VIA币居然涨了100......
  • 所属分类:WEB安全 更新时间:2018-03-26 相关标签: 阅读全文...
  • 谷歌为G-Suite服务部署全新反钓鱼和恶意软件检测功能
  • Google 为 G Suite 服务推出了全新安全功能,包括企业云计算,生产力和协作工具。 现在企业用户可以使用 Gmail 来绑定企业自定义域名,并进行商务和企业内部的邮件联络。 而G Suite 管理员可以在G Suite 后端内部启......
  • 所属分类:WEB安全 更新时间:2018-03-23 相关标签: 阅读全文...
  • PHP反序列化与WordPress一些意外BUG的有趣结合
  • 几个月前,我正在编写一篇关于PHP反序列化漏洞的博客文章,决定为这篇文章找一个真实目标,能够让我将测试数据传输给PHP unserialize ()函数来实现演示目的。于是我下载了一批WordPress插件,并开始通过grepping来寻......
  • 所属分类:WEB安全 更新时间:2018-03-21 相关标签: 阅读全文...
  • 使用SQLMap进行Access注入
  • 1.1使用sqlmap进行access注入 对于存在access注入的站点,可以通过手工注入或者工具注入来获取access数据库中的表以及内容,特别是获取网站后台管理表中的用户名及其密码。 1.1.1 access数据库简介 Microsoft Off......
  • 所属分类:WEB安全 更新时间:2018-03-21 相关标签: 阅读全文...
  • 重新认识被人遗忘的HTTP头注入
  • 注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。 HOST注入 在以往http1.0中并没有host字段,但是在http1.1中......
  • 所属分类:WEB安全 更新时间:2018-03-20 相关标签: 阅读全文...
  • 混在运维部的安全员说“端口与口令安全”
  • 1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当然了我的工作主要是安全。初来乍到,先了解下公司......
  • 所属分类:WEB安全 更新时间:2018-03-19 相关标签: 阅读全文...
  • 从外部Active Directory获取域管理员
  • 这是我在博客发的第一篇非web类的博文。我曾是一名Web开发人员,我对信息安全的兴趣也从 web 开始。从最初的兼职到如今的全职,活动目录(Active Directory)测试已成为我最喜欢的渗透测试类型。 这篇文章是关于我在......
  • 所属分类:WEB安全 更新时间:2018-03-19 相关标签: 阅读全文...
  • 网易云音乐PC客户端加密API逆向解析
  • 1、前言 网上已经有大量的web端接口解析的方法了,但是对客户端的接口解析基本上找不到什么资料,本文主要分析网易云音乐PC客户端的API接口交互方式。 通过内部的代理设置,使用fiddler作为代理工具,即可查看交互......
  • 所属分类:WEB安全 更新时间:2018-03-13 相关标签: 阅读全文...
  • SQL注入检测技术 | 9种绕过Web应用程序防火墙的方式
  • Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量......
  • 所属分类:WEB安全 更新时间:2018-03-09 相关标签: 阅读全文...
  • 鸡肋CSRF和Self-XSS组合的变废为宝
  • 昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这种漏洞,因为这种 CSRF 一般情况下都不会造成什么危害,甚至也不认为是漏洞(之前挖 TSRC 的时候,只要......
  • 所属分类:WEB安全 更新时间:2018-03-09 相关标签: 阅读全文...
  • Web安全学习:如何自我定位与制定学习计划
  • 一 简介 通过本篇文章,您可以了解一个web安全从业人员所具备的大致知识面,同时我也制定了一个循序渐进的学习计划,用以帮您找准自己的定位,并可以自己制定适合自己的学习计划。 二 关键词 以不求甚解的方式去看......
  • 所属分类:WEB安全 更新时间:2018-03-07 相关标签: 阅读全文...
  • 代码分享:使用Python和Tesseract来识别图形验证码
  • 各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,......
  • 所属分类:WEB安全 更新时间:2018-03-05 相关标签: 阅读全文...
  • 深度研究1款结构简捷的Github数据泄漏爬虫
  • 0×01.媒介 Github作为一个代码托管平台,有着海量的开源代码和很多开发者。在代码上传时,有些开发者短缺网安认识,会在不经意间泄漏自己的暗码或者密钥。本文以这里为切入点,先容一个检索代码信息的小爬虫和在写......
  • 所属分类:WEB安全 更新时间:2017-10-19 相关标签: 阅读全文...
  • 运用Angr达到简单的CTF逆向分析符号执行
  • 1. 标记履行归纳综合 简略的来讲,标记履行便是在运转法式时,用标记来代替实在值。标记履行相较于实在值履行的长处在于,当应用实在值履行法式时,咱们可以或许遍历的法式门路只要一条,而应用标记停止履行时,因为......
  • 所属分类:WEB安全 更新时间:2017-10-19 相关标签: 阅读全文...
  • 一个网页是如何从你的手机中盗窃数据的WebUSB
  • 本年9月15日,Chrome61宣布,它启用了WebUSB作为其默许功效。而WebUSB是一个Javascript API,能够容许网页拜访已衔接的USB装备。这里的USB装备是指体系和产业的USB装备,以是不支撑罕见的USB装备(好比收集摄像头,H......
  • 所属分类:WEB安全 更新时间:2017-10-18 相关标签: 阅读全文...
  • 内核方式里的隐藏进程,反取证技术研究分析
  • 本文是引见恶意病毒木马软件的耐久性及传播性技术这一系列的第一次迭代,这些技术中大局部是研讨人员几年前发现并披露的,在此引见的目的是树立这些技术和取证方面的学问框架。 用于证明概念的代码能够在CERT的Gi......
  • 所属分类:WEB安全 更新时间:2017-09-29 相关标签: 阅读全文...
  • 怎样利用LDAP注入在二十秒以内绕开Joomla!的认证登录
  • 写在前面的话 Joomla!今朝的下载量曾经超过了8400万次了,它也曾经成为了今朝环球最热点的内容管理系统之一。据统计,今朝互联网上有约莫3.3%的网站内容和文章都是由Joomla!驱动的。 咱们的代码阐发解决方案RIP......
  • 所属分类:WEB安全 更新时间:2017-09-29 相关标签: 阅读全文...
  • 建立在ThinkPHP的两个CMS系统后台的GetShell运用
  • ThinkPHP是为了简化企业级利用开辟和迅速WEB利用开辟而诞生的,因为其简略易用,许多cms都基于该框架改写。但是 Thinkphp在缓存利用却存在缺点,天生缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大......
  • 所属分类:WEB安全 更新时间:2017-09-26 相关标签: 阅读全文...
  • 网站中的代码潜伏着挖矿机的JS脚本
  • 挖矿机这个名字信任人人曾经愈来愈认识,但网页版的挖矿机人人有无见过呢?克日360互联网网安中间就发明了如许一款以JavaScript剧本情势存在于网页中的挖矿机。 该剧本代码被嵌入了一个叫做“万方科技学院内网代理体......
  • 所属分类:WEB安全 更新时间:2017-09-26 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集