欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 浅析加密DNS(附子域名爆破工具)
  • 本文章简单介绍一下两种加密DNS协议:DNS over HTTPS 和 DNS over TLS。这两种协议主要为了解决DNS带来的隐私和中间人篡改问题。 0×01 DNS的安全及隐私 DNS设计之初并没有考虑安全问题,所以大部分DNS查询使用UDP......
  • 所属分类:WEB安全 更新时间:2018-04-20 相关标签: 阅读全文...
  • Codiad在线IDE框架漏洞挖掘
  • 简介 : Codiad 是一个开源基于Web的IDE应用程序,用于在线编写和编辑代码。 仓库 : https://github.com/Codiad/Codiad 环境搭建 : 通过phpstudy搭建基础,并开启Xdebug 。 可参考https://blog.csdn.net/flying......
  • 所属分类:WEB安全 更新时间:2018-04-20 相关标签: 阅读全文...
  • 谨防隐私泄露,一个链接就能了解你的一切
  • 某日表哥丢过来一个链接,说可以查到手机号或者邮箱号下面注册过的账号,于是有了下面的分析。由于涉及隐私,以下文章中涉及电话号码的部分我已作了隐藏,还有批量利用脚本就不放出来了,敬请见谅。 0×01 收集信息......
  • 所属分类:WEB安全 更新时间:2018-04-19 相关标签: 阅读全文...
  • 内存取证:查找Metasploit的Meterpreter踪迹
  • Metasploit是一个非常受欢迎的渗透测试框架,被视为安全测试人员手中的一把利器。但在另一方面由于他过于强大,因此也常常被一些恶意攻击者所利用。当然,在本文我们主要讨论的是关于内存取证,这对于我们来说是至关......
  • 所属分类:WEB安全 更新时间:2018-04-19 相关标签: 阅读全文...
  • 从PNG tEXt到存储型XSS
  • 最近在对某客户的站点做测试时我遇到了一些麻烦。在对许多上传点测试后我发现这些上传点都有着非常严格的文件过滤机制只接受扩展名为.PNG的文件。但就在我一筹莫展时我发现了一个上传点允许我们上传带有.html扩展名......
  • 所属分类:WEB安全 更新时间:2018-04-17 相关标签: 阅读全文...
  • 浏览器的自动填充功能真的安全吗?我看未必!
  • 在今天这个“芯片当道”的时代,信用卡数据被盗事件的发生概率也一直在上升,因为攻击者可以利用各种各样的方法来窃取信用卡数据,而一块小小的芯片并不能保证信用卡在网络环境中的安全。 中间人攻击、恶意软件以......
  • 所属分类:WEB安全 更新时间:2018-04-16 相关标签: 阅读全文...
  • 通过F5 BIG-IP LTM的会话Cookie获取Facebook服务器内网IP
  • 早前有技术社区发布了文章《解码F5负载均衡产品持久性Cookie探测内网IP》,其中讲解了通过解码F5 BIG-IP LTM的Cookie来发现目标服务器真实内网IP。简单来说就是,F5负载均衡产品( BIG-IP LTM)在做网络负载均衡时,......
  • 所属分类:WEB安全 更新时间:2018-04-12 相关标签: 阅读全文...
  • 由Three Hit聊聊二次注入
  • 之前参加“强网杯”,学到了不少姿势,其中的web题three hit印象深刻,考的是二次注入的问题,这里对二次注入尝试做一个小结。 0×01什么是二次注入? 所谓二次注入是指已存储(数据库、文件)的用户输入被读取后再......
  • 所属分类:WEB安全 更新时间:2018-04-11 相关标签: 阅读全文...
  • 最通俗易懂的PHP反序列化原理分析
  • 0×01写在前面 PHP反序列化漏洞虽然利用的条件比较苛刻,但是如果可以利用一般都会产生很严重的后果。在春招的时候很多公司都问过这个问题,说明这个反序列化漏洞的技能点也是很多公司比较关注的技能点。 可是网上......
  • 所属分类:WEB安全 更新时间:2018-04-10 相关标签: 阅读全文...
  • 看我如何挖掘到WordPress漏洞并最终拿下$1337的赏金
  • 背景 自2016年以来我就一直对WordPress的安全性颇为关注,并在此期间我发现了许多有趣的东西。本文的目的就是希望与你分享我的一些研究成果,因此我希望大家能仔细的阅读这篇文章。 在正式开始谈论之前,我想先向大......
  • 所属分类:WEB安全 更新时间:2018-04-09 相关标签: 阅读全文...
  • 如何利用暴力破解攻击打进“敌人”内部
  • 写在前面的话 在很多现实的攻击案例中,大多数攻击者都是通过暴力破解的方式来入侵目标系统的,此时攻击者主要利用的是弱密码以及密码管理方面的安全问题。Web应用和Web服务特别容易受到密码暴力破解攻击,因为它......
  • 所属分类:WEB安全 更新时间:2018-04-02 相关标签: 阅读全文...
  • 一种绕过限制下载论文的思路
  • 注:本文下面的内容仅讨论绕过思路,作为技术交流之用。大家下载论文还是应该通过正规渠道,付费下载,尊重各位站长的劳动成果。敏感图片和代码中涉及站点的内容均已打码。 有时候要研究技术,我们也需要下载一些论......
  • 所属分类:WEB安全 更新时间:2018-04-02 相关标签: 阅读全文...
  • 看我如何利用Webhook绕过支付请求
  • 写在前面的话 在深入了解漏洞奖励计划中的安全漏洞时,我们往往需要寻找一些用户不可见的功能下手。支付Webhook就是一种典型例子,像Stripe或Braintree这样的支付服务提供商都会使用这种技术来将用户的订购细节告......
  • 所属分类:WEB安全 更新时间:2018-03-30 相关标签: 阅读全文...
  • 关于SQL注入漏洞的4个误解
  • 预告:如果你对SQL注入方面的攻击与防御技术感兴趣。那么,欢迎你参加我们在3月16号星期五早上九点举办的,免费在线GroupBy会议。 SQL注入已是一个老生常谈的话题,但时至今日仍是我们作为开发人员和数据库专业人......
  • 所属分类:WEB安全 更新时间:2018-03-28 相关标签: 阅读全文...
  • Solveme.peng.kr平台Web题解
  • 前言 最近发现了一个Web练习平台:http://solveme.peng.kr/chall里面所有的Web都是源码审计,感觉网上相关题解很少,于是抽空做了一下,写了一篇文章,欢迎大家和我多多交流! warmup 应该是道签到题 error_repo......
  • 所属分类:WEB安全 更新时间:2018-03-28 相关标签: 阅读全文...
  • 实例讲解False盲注基础原理
  • 0×01 前言 false盲注有些时候可以绕过一些WAF,也是容易被忽视的细节。本文的目的在于通过做CTF的同时来学习注入原理,同时也运用到自身的能力。这里只是简单说一些我自己的理解,也许网上有更好的思路和见解,都是......
  • 所属分类:WEB安全 更新时间:2018-03-27 相关标签: 阅读全文...
  • 在Go中使用反向代理进行网络钓鱼测试
  • 对于一个攻击者来说,要想实施一次网络钓鱼攻击,往往需要做大量的准备工作。例如搭建钓鱼站点,引诱受害者上钩,捕获受害者的登录凭证等。为了避免这些繁杂的过程,本文我将教大家使用Go自动化这些过程。 完整的代......
  • 所属分类:WEB安全 更新时间:2018-03-27 相关标签: 阅读全文...
  • WannaMine新动向:对Weblogic服务端发起大规模攻击
  • 近日,360互联网安全中心监测到挖矿僵尸网络“WannaMine”进行了一次全面更新,目标直指使用Weblogic服务端组件的服务器。该僵尸网络使用Oracle在2017年10月修复的Weblogic反序列化漏洞cve-2017-10271发起攻击,由于......
  • 所属分类:WEB安全 更新时间:2018-03-26 相关标签: 阅读全文...
  • 七亿元学费,教你Unicode钓鱼
  • 一、 币圈不眠夜 3月7日,女生节,同时也是一个不平凡的日子。晚上,小白在电脑面前无聊地上网冲浪,偶尔看看区块链的行情。 大概23点左右,他发现VIA币的行情成了一条垂直向上的红线,仔细一看,VIA币居然涨了100......
  • 所属分类:WEB安全 更新时间:2018-03-26 相关标签: 阅读全文...
  • 谷歌为G-Suite服务部署全新反钓鱼和恶意软件检测功能
  • Google 为 G Suite 服务推出了全新安全功能,包括企业云计算,生产力和协作工具。 现在企业用户可以使用 Gmail 来绑定企业自定义域名,并进行商务和企业内部的邮件联络。 而G Suite 管理员可以在G Suite 后端内部启......
  • 所属分类:WEB安全 更新时间:2018-03-23 相关标签: 阅读全文...
  • PHP反序列化与WordPress一些意外BUG的有趣结合
  • 几个月前,我正在编写一篇关于PHP反序列化漏洞的博客文章,决定为这篇文章找一个真实目标,能够让我将测试数据传输给PHP unserialize ()函数来实现演示目的。于是我下载了一批WordPress插件,并开始通过grepping来寻......
  • 所属分类:WEB安全 更新时间:2018-03-21 相关标签: 阅读全文...
  • 使用SQLMap进行Access注入
  • 1.1使用sqlmap进行access注入 对于存在access注入的站点,可以通过手工注入或者工具注入来获取access数据库中的表以及内容,特别是获取网站后台管理表中的用户名及其密码。 1.1.1 access数据库简介 Microsoft Off......
  • 所属分类:WEB安全 更新时间:2018-03-21 相关标签: 阅读全文...
  • 重新认识被人遗忘的HTTP头注入
  • 注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。 HOST注入 在以往http1.0中并没有host字段,但是在http1.1中......
  • 所属分类:WEB安全 更新时间:2018-03-20 相关标签: 阅读全文...
  • 混在运维部的安全员说“端口与口令安全”
  • 1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当然了我的工作主要是安全。初来乍到,先了解下公司......
  • 所属分类:WEB安全 更新时间:2018-03-19 相关标签: 阅读全文...
  • 从外部Active Directory获取域管理员
  • 这是我在博客发的第一篇非web类的博文。我曾是一名Web开发人员,我对信息安全的兴趣也从 web 开始。从最初的兼职到如今的全职,活动目录(Active Directory)测试已成为我最喜欢的渗透测试类型。 这篇文章是关于我在......
  • 所属分类:WEB安全 更新时间:2018-03-19 相关标签: 阅读全文...
  • 网易云音乐PC客户端加密API逆向解析
  • 1、前言 网上已经有大量的web端接口解析的方法了,但是对客户端的接口解析基本上找不到什么资料,本文主要分析网易云音乐PC客户端的API接口交互方式。 通过内部的代理设置,使用fiddler作为代理工具,即可查看交互......
  • 所属分类:WEB安全 更新时间:2018-03-13 相关标签: 阅读全文...
  • SQL注入检测技术 | 9种绕过Web应用程序防火墙的方式
  • Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量......
  • 所属分类:WEB安全 更新时间:2018-03-09 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集