欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • WAF自动化暴破(绕过)脚本xwaf
  • xwaf xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf Disclaimer [!] legal disclaimer: Usage of 3xp10it.py and web.py for attacking targets......
  • 所属分类:脚本安全 更新时间:2017-02-22 相关标签: 阅读全文...
  • PHP防御XSS攻击的终极解决方案
  • 最近测试XSS攻击修复时,找到的一个比较不错的文章,分享给大家。 感谢大家的关注和回答,目前我从各种方式了解到的防御方法,整理如下: PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars......
  • 所属分类:脚本安全 更新时间:2017-02-20 相关标签: 阅读全文...
  • 网奇cms注入
  • private void xaef3235cdd23255e() { string text = base.Server.UrlDecode(base.Request.Form["cid"]); while (true) { IL_3E0: string str = base.Server.UrlDecode(base.Request.Form["aid"]); string te......
  • 所属分类:脚本安全 更新时间:2017-02-19 相关标签: 阅读全文...
  • 浅析图片XSS中的哪些技术问题
  • 跨站请求漏洞是web漏洞中最普遍的漏洞,在特定的场景下可以造成很严重的破坏。可以让攻击者在受害者浏览器上执行一个恶意脚本,网络上关于这方面的文章已经很多了。 危害 想象下,如果我们能够在图片里直接插入JS......
  • 所属分类:脚本安全 更新时间:2017-02-19 相关标签: 阅读全文...
  • XSS “从 1 到 0”
  • 时隔半年终于也应该更新了,之前说的每周更新也因为懒散这个借口变得遥遥无期。之所以叫这个标题,是在Freebuf上看到一篇文章,开头作者问到:“网上大多的文章标题都是XXX从0开始, 可我们到底什么时候能从1开始呢......
  • 所属分类:脚本安全 更新时间:2017-02-19 相关标签: 阅读全文...
  • 关于update的一个小注入
  • 昨天在小密圈看到ph师傅发了一段code,当时想的是利用join方法去进行报错注入,结果晚上一看,乐师傅已经解决了QAQ(膜,自己也写一下关于这段code的分析: code区域: <?php $link = mysqli_connect('localhost'......
  • 所属分类:脚本安全 更新时间:2017-02-12 相关标签: 阅读全文...
  • XPath注入详解
  • 0x01 简介 XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来......
  • 所属分类:脚本安全 更新时间:2017-02-02 相关标签: 阅读全文...
  • SQL 注入详解扫盲
  • 实习期间的主要工作还是研究 WEB 安全,编程语言是 Python,常用到正则表达式,对 HTTP 的协议也非常清晰。 刚过来的时候,研究的主要是 SQL 注入,因为之前没有搞过安全,所有费了好长一段时间学习 SQL 注入的......
  • 所属分类:脚本安全 更新时间:2017-02-01 相关标签: 阅读全文...
  • CSRF攻击原理及预防手段
  • CSRF全程 Cross Site Request Forgery, 跨站域请求伪造.这种攻击方式相对于XSS,SQL注入等攻击方式比较晚被发现,今天就来讲解下这种攻击方式以及避免方式. 攻击过程 假设abc用户登录银行的网站进行操作, 同时......
  • 所属分类:脚本安全 更新时间:2017-01-24 相关标签: 阅读全文...
  • 新浪微博CSRF事件解析(攻击脚本和流程分析)
  • 最近sina 微博受到了大规模的xss攻击事件,多个用户收到了如下图所示消息,并且自动添加了昵称为hellosammy,uid为2201270010用户,并且给自己所关注的用户发送了同样的私信。 从上图可以看出,攻击者是利用......
  • 所属分类:脚本安全 更新时间:2017-01-24 相关标签: 阅读全文...
  • 利用Discuz e2dk地址XSS挂马分析报告(针对某专业军事论坛)
  • 1月11日,360安全卫士云安全系统检测到国内知名军事论坛“军号网”上出现可疑的挂马行为,随即进行追踪分析。经过进一步确认,发现这是一次攻击范围很小、时间短暂,而且被攻击者迅速清理现场的挂马,很可能是有明确......
  • 所属分类:脚本安全 更新时间:2017-01-21 相关标签: 阅读全文...
  • Snuck:一款自动化XSS漏洞扫描工具
  • 工具简介【下载地址】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会......
  • 所属分类:脚本安全 更新时间:2017-01-14 相关标签: 阅读全文...
  • GUN sed高级用法,sed脚本编写
  • 这里举一些sed常用的高级用法例子经供参考: 一下操作都针对file.txt文件作修改 [root@QX-VPN ~]# cat file.txt libgcc-4.4.7-4.el6.x86_64 setup-2.8.14-20.el6_4.1.noarch tzdata-2013g-1.el6.noarch jakart......
  • 所属分类:脚本安全 更新时间:2016-12-25 相关标签: 阅读全文...
  • 跨站脚本傻瓜指南 – Hacker Noon
  • 首先,我要声明一下。这篇文章的目的是邪恶的。我准备帮助黑客们做些违法的事情。教会他们使用跨站脚本窃取用户信息,然后用来实现最邪恶的目标。 这世上每分钟都有蠢货诞生(双关:sucker有婴儿的意思也有易受骗的......
  • 所属分类:脚本安全 更新时间:2016-12-23 相关标签: 阅读全文...
  • python多进程编程
  • 最近开始学习PYTHON编程语言,详细参照《python绝技运用Python成为顶级黑客》。在学习过程第一章节中,编写破解LINUX shadow文件时,想利用多线程加快破解速度。主机运行环境为WINDOWS下的VM WORKSTATION上的一台虚拟......
  • 所属分类:脚本安全 更新时间:2016-12-18 相关标签: 阅读全文...
  • python 暴力破解SSH
  • import pxssh import optparse import time from threading import * #最大线程数量控制数 maxConnections=5 connection_lock=BoundedSemaphore(value=maxConnections) #Found 为密码成功破解后退出程序的信号......
  • 所属分类:脚本安全 更新时间:2016-12-18 相关标签: 阅读全文...
  • CSRF实战:借刀杀人之全民助我投诉吧主
  • 作者:昌维 链接:https://zhuanlan.zhihu.com/p/24411110 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 CSRF全称为“跨站请求伪造”,顾名思义:外站可以通过特殊技巧......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • XSS实战:我是如何拿下你的百度账号
  • 作者:昌维 链接:https://zhuanlan.zhihu.com/p/24249045 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 XSS漏洞想必很多行内人士都有所耳闻,这次我要分享的挖洞经历也......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • 超过百万网站拥有postMessage XSS漏洞
  • 前言 AddThis是一个被超过一百万网站使用的分享按钮。它们都在今年早些被发现有XSS漏洞。 在我上一篇文章( https://labs.detectify.com/2016/12/08/the-pitfalls-of-postmessage/ )中我介绍了postMessage API的缺......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • Mysql本地提权漏洞/写my.cnf文件命令执行漏洞
  • 0x00 漏洞影响 MySQL <= 5.7.15远程代码执行/ 提权 (0day) 5.6.33 5.5.52 Mysql分支的版本也受影响,包括: MariaDB PerconaDB 0x01 条件 (1)可以在低权(需要有FILE权限)账户下执行 (2)可以执行sq......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • XSS常见利用代码及原理
  • XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。常见的利用方式有cookie获取、基础认证钓鱼、表单劫持等。通常,在发现XSS漏洞后,会利用跨站平台里面的......
  • 所属分类:脚本安全 更新时间:2016-12-13 相关标签: 阅读全文...
  • Pwnhub Web题Classroom题解与分析
  • Pwnhub 是一个面向安全研究人员的CTF对战平台,更官方一点的解释就是一个以各种安全技术为内容的竞赛平台。经过我们团队数个月的酝酿终于上线了。上线伊始,我出了一道Web题目,名字叫Classroom。 0x01 寻找源码 ......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 通过反射型 XSS 绕过配合 form-action 绕过 CSP
  • 本文来源:mottoin CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。CSP form-action指令可以限制页面......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 再谈 CSRF 攻击应对之道
  •  关于 CSRF 的攻击防御,网上已经给出了很多答案,我推荐 《CSRF 攻击的应对之道》。文章列举了三种方法,我就其中一种方法——在请求地址中添加 token 并验证,进行了改造,使它更符合我的需求。下面将......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • CSRF攻击-进击的巨人
  • 计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外: https://github.com/evilcos/papers 我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。 还包括以前提的Flash CSRF/......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • XSS 和 CSRF 两种跨站攻击
  • 差不多刚开始接触前端的时候,经常能看到一些早几年入行大牛们的简历,几乎所有人都会在简历中带上这么一句话:具备基本的 Web 安全知识(XSS / CSRF)。显然这已经成为前端人员的必备知识。 非常怀念那个 SQL 注......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • 脚本病毒之源码分析
  • 今天学习了一下脚本病毒感染模块的原理,了解感染模块的流程。准备好了吗,跟我一起在回顾一下吧! 脚本(Script)病毒是以脚本程序语言(如VB Script, JavaScript, PHP)编写而成的病毒。实际上,用任何语言都可以编写病......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • cookies注入漏洞
  • 嘿嘿,我的方法和linzi一样,当然是用cookies提交啦。 我以前写过一篇文章《安全检测时发现的一些漏洞》,其中有一段就是针对的这种情况,我把它摘录过来,希望有用: -- 三、通用防注入原来形同虚设 这是个很大......
  • 所属分类:脚本安全 更新时间:2016-11-16 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集