欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 代码审计第四节-XSS基础知识
  • 代码审计第四节主要是讲解XSS的一些基础知识。跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意javaScr......
  • 所属分类:脚本安全 更新时间:2016-06-28 相关标签: 阅读全文...
  • 手工注入基础-巧用函数Getshell
  • 小W看了我上次写的《手工注入基础-MySQL注入流程》,迫不及待的问我:“获取到管理员密码后应该怎么进行下一步呢?” Me鄙视的看着他:“下一步按Next啊!”小W给Me翻了个卫生眼,直愣愣的盯着我。Me被他盯的有点虚......
  • 所属分类:脚本安全 更新时间:2016-06-28 相关标签: 阅读全文...
  • 手工注入基础-MySQL注入流程
  • 背景:最近很多小伙伴问一些SQL注入很基础的问题,所以就想写一篇基础文章进行科普。 什么是SQL注入? SQL注入怎么产生的? 如何进行SQL注入? 什么是SQL注入? 结构化查询语言(Structured Query Lan......
  • 所属分类:脚本安全 更新时间:2016-06-28 相关标签: 阅读全文...
  • 合天网安实验室CTF练习赛之逆向题
  • 最近搞逆向,就做做CTF题吧 挑战地址:http://www.hetianlab.com/CTFrace.html 对linux的逆向还没深入学习,所以re300暂时空着 逆向100 先把后缀改为.apk吧 安装看看吧, 输入密码,随便输入,点击Ent......
  • 所属分类:脚本安全 更新时间:2016-06-28 相关标签: 阅读全文...
  • 实现几个shell小脚本
  • 1实现进度条 my_pb.sh 运行结果 进行1-100之间的求和 sum.sh 运行结果 递归实现: sum_recursion.sh 运行结果 3.求一个文件中数据的max,min,avg(包括读取文件) file file.sh ......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • CTF平台hackit题目分析与解答
  • 之前在网上经常看到很多的CTF的练习平台,在加上搞CTF比赛的学弟推荐了这个CTF平台。当时在网上看了一下,这个平台推荐的人还是很多的。这个平台是由一个白帽子个人开发的一个平台。趁着这个平台还没有关闭的时候,......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • WHCTF WEB题目分析
  • 之前一直都是在学习Web安全相关的知识,而WHCTF算是第一次真正意义上的参加了CTF比赛。这次的CTF比赛由于华科是第一次举办,导致题目相对于以往的大部分考察的是技巧性的CTF比赛的题目,本次的很多的题目都是一些脑......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • 南京邮电大学攻防平台writeup
  • 最近有发现了一个练习CTF的好地方。 南京邮电大学网络攻防平台 相当的不错,题目类型涵盖了WEB、隐写术、密码学、MISC四种类型。题目的数量也是十分的多,作为CTF入门以及web安全入门还是不错的。虽然其中的题目难度......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • SQL注入关联分析
  • 0x00 序 打开亚马逊,当挑选一本《Android4高级编程》时,它会不失时机的列出你可能还会感兴趣的书籍,比如Android游戏开发、Cocos2d-x引擎等,让你的购物车又丰富了些,而钱包又空了些。关联分析,即从一个数据......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • Discuz ssrf rce(redis情况下)
  • 漏洞概述 discus支持多种缓存方式(redis,memcache),而一般情况下,大多数都会将redis或memcache安装在本地,而且默认安装的redis是可以直接访问的,不需要账号密码,这里就有一个潜在的问题,如果discuz的安全......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • 三个白帽之招聘又开始了,你怕了吗 writeup
  • ALICTF 2016,我负责了3道题web,Recruitment I, Recruitment II, homework, 其中Recruitment I,Recruitment II几乎没人做出,并且做出Recruitment II的队伍在第二步都使用了unintended的做法,所以我将这三题做了......
  • 所属分类:脚本安全 更新时间:2016-06-27 相关标签: 阅读全文...
  • 一个lvs的安装脚本
  • 说明: 1.给一个可执行权限,在第一台realserver上运行-h,看帮助, 2.创建realserver :运行脚本输入realsever 3.创建lvs:运行脚本输入lvs #!/bin/bash#builed realserverrealserver() { A=`cat /proc/sys/net......
  • 所属分类:脚本安全 更新时间:2016-06-25 相关标签: 阅读全文...
  • 利用CSRF漏洞对Open edX进行提权
  • 今天一早@MT在群里发了一个漏洞报告 Cross Site Request Forgery Bug in edX LMS 报告显示这是一个高危漏洞,报告里说: In one specific case users could potentially escalate their privileges via an atta......
  • 所属分类:脚本安全 更新时间:2016-06-21 相关标签: 阅读全文...
  • 漫谈shell脚本
  • 一. 关于shell shell,英文是壳,外壳的意思,至于在计算机中,同样有这样的一层意思,也就是可以将shell看做是计算机系统封装的一层外壳,来供用户使用,因此,用户可以通过操纵shell也就是输入一系列命令来达到各......
  • 所属分类:脚本安全 更新时间:2016-06-15 相关标签: 阅读全文...
  • (翻译)新型钓鱼-利用OAuth钓鱼
  • 从近年来很多著名的攻击事件来看,有很大一部分是从钓鱼攻击开始的,企业由于没有对用户进行双因子认证,使得攻击者通过钓鱼获取到了用户名密码后就能直接进入内网。 这篇文章要阐述的是一种更为难以防御的攻击方法......
  • 所属分类:脚本安全 更新时间:2016-06-09 相关标签: 阅读全文...
  • 网站攻防之CSRF和XSS跨站脚本攻击
  • 进入正题之前,先扯一番:黑客本义并非某些人以为的利用网络干坏事的人,刚开始或者说现在的很多,黑客是以技术大牛的形式存在的,也就是在网络领域有一门专场的牛人。有些黑客不干坏事而是干好事,比如利用网站的漏......
  • 所属分类:脚本安全 更新时间:2016-06-08 相关标签: 阅读全文...
  • 浅谈新手在寻找XSS时所存在的一些误区
  • 1. 误区1: XSS,不是专门去“绕过”限制。 打个简单的比方,一个已经被层层把守的大门,面前荆棘无数,而你又单枪匹马的,怎么闯的进去? 这个时候你要意识到,走大门是不可能的。其实我们要突破的城防,有很多小......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • XSS-前端工程师最大的杀手攻击方式
  • 已有很多的相关文章了,wos只是提示一下大家 就不画轮子了,直接给链接,建议先看完本页内容后,在看链接地址上的内容 XSS跨站脚本攻击过程最简单演示:http://blog.csdn.net/smstongdetails/43561607 XSS攻击及......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • dede存储型xss,可打管理员!
  • 这个xss需要开启会员模块(想想光整出来的时候,意气风发的去看dede官网……) xss的位置为会员中心发布文章的地方 然后选择文章->发表 之后在详细内容中插入代码 <img src="1" onerror=“alert(......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • 如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞
  • 当想要在服务器的开source脚本代码中发掘跨站脚本漏洞时,使用静态分析方法可以使我们的分析过程变得更加简单并且自动化,另外,网上也可以找到许多相关的工具。 我近期发现了一种通过寻找共性pattern在PHPsource码......
  • 所属分类:脚本安全 更新时间:2016-06-03 相关标签: 阅读全文...
  • LIMIT 的SQL注入问题
  • SQL注入 前言: 今天跟小伙伴一起做三个白帽的测试题,挺有意思的一个点,学了一些新姿势。 环境: mysql 5.5 windows 10 PHP 5.6 1 2 3 mysql 5.5 windows 10 PHP 5.6 前言: mysql几乎在......
  • 所属分类:脚本安全 更新时间:2016-06-02 相关标签: 阅读全文...
  • python发送电子邮件模块smtplib
  • 一.简介: 电子邮件是最流行的互联网应用之一,在系统管理中,经常需要使用邮件来告警信息,业务质量报告等。方便运维人员在第一时间了解业务的服务状态,将通过使用python的smtplib模块来实现邮件的发送功能,能模......
  • 所属分类:脚本安全 更新时间:2016-05-30 相关标签: 阅读全文...
  • MSSQL Union注入新手教程
  • 今天,我将通过这篇文章来一步一步教会大家如何进行MSSQL Union注入。在这篇文章中,我只会对相关的基础知识内容进行讲解。因为我发现在网上目前没有很多相关的教程,而且目前已有的教程中也并没有讲解得非常详细,......
  • 所属分类:脚本安全 更新时间:2016-05-27 相关标签: 阅读全文...
  • 在现代web应用程序中的CSRF
  • CSRF或跨站点请求伪造(Cross-Site Request Forgery)在2013年的OWASP的前十名排名中排第8名。 引用OWASP的一个关于CSRF的简短介绍: 跨站点请求伪造(CSRF)是一种迫使一个终端用户在web应用程序上执行其不想进行的操......
  • 所属分类:脚本安全 更新时间:2016-05-27 相关标签: 阅读全文...
  • xss攻击利用(心得)
  • 提起xss很多人说不就是一个弹窗么?不过得确,我们现在所接触到的xss就是一个xss来证明它存在xss漏洞就可以了,但是xss的功能就只有一个弹窗么?可远远不止哦!  我们先来简单的介绍一下xss:xss又叫CSS(Cross-......
  • 所属分类:脚本安全 更新时间:2016-05-26 相关标签: 阅读全文...
  • 看我如何用XSS“干掉”8/9的顶级杀软厂商
  • 在过去的十年里,世界上已经有数以百万计的人在电脑上装了杀毒软件。在本文中,我们针对世界上Top 9杀软公司的网站里攻克下了8个,成功实现了XSS的利用。 前言 现如今的杀软已经非常成熟,还拥有了针对ransomwar......
  • 所属分类:脚本安全 更新时间:2016-05-23 相关标签: 阅读全文...