欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Snuck:一款自动化XSS漏洞扫描工具
  • 工具简介【下载地址】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会......
  • 所属分类:脚本安全 更新时间:2017-01-14 相关标签: 阅读全文...
  • GUN sed高级用法,sed脚本编写
  • 这里举一些sed常用的高级用法例子经供参考: 一下操作都针对file.txt文件作修改 [root@QX-VPN ~]# cat file.txt libgcc-4.4.7-4.el6.x86_64 setup-2.8.14-20.el6_4.1.noarch tzdata-2013g-1.el6.noarch jakart......
  • 所属分类:脚本安全 更新时间:2016-12-25 相关标签: 阅读全文...
  • 跨站脚本傻瓜指南 – Hacker Noon
  • 首先,我要声明一下。这篇文章的目的是邪恶的。我准备帮助黑客们做些违法的事情。教会他们使用跨站脚本窃取用户信息,然后用来实现最邪恶的目标。 这世上每分钟都有蠢货诞生(双关:sucker有婴儿的意思也有易受骗的......
  • 所属分类:脚本安全 更新时间:2016-12-23 相关标签: 阅读全文...
  • python多进程编程
  • 最近开始学习PYTHON编程语言,详细参照《python绝技运用Python成为顶级黑客》。在学习过程第一章节中,编写破解LINUX shadow文件时,想利用多线程加快破解速度。主机运行环境为WINDOWS下的VM WORKSTATION上的一台虚拟......
  • 所属分类:脚本安全 更新时间:2016-12-18 相关标签: 阅读全文...
  • python 暴力破解SSH
  • import pxssh import optparse import time from threading import * #最大线程数量控制数 maxConnections=5 connection_lock=BoundedSemaphore(value=maxConnections) #Found 为密码成功破解后退出程序的信号......
  • 所属分类:脚本安全 更新时间:2016-12-18 相关标签: 阅读全文...
  • CSRF实战:借刀杀人之全民助我投诉吧主
  • 作者:昌维 链接:https://zhuanlan.zhihu.com/p/24411110 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 CSRF全称为“跨站请求伪造”,顾名思义:外站可以通过特殊技巧......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • XSS实战:我是如何拿下你的百度账号
  • 作者:昌维 链接:https://zhuanlan.zhihu.com/p/24249045 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 XSS漏洞想必很多行内人士都有所耳闻,这次我要分享的挖洞经历也......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • 超过百万网站拥有postMessage XSS漏洞
  • 前言 AddThis是一个被超过一百万网站使用的分享按钮。它们都在今年早些被发现有XSS漏洞。 在我上一篇文章( https://labs.detectify.com/2016/12/08/the-pitfalls-of-postmessage/ )中我介绍了postMessage API的缺......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • Mysql本地提权漏洞/写my.cnf文件命令执行漏洞
  • 0x00 漏洞影响 MySQL <= 5.7.15远程代码执行/ 提权 (0day) 5.6.33 5.5.52 Mysql分支的版本也受影响,包括: MariaDB PerconaDB 0x01 条件 (1)可以在低权(需要有FILE权限)账户下执行 (2)可以执行sq......
  • 所属分类:脚本安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • XSS常见利用代码及原理
  • XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。常见的利用方式有cookie获取、基础认证钓鱼、表单劫持等。通常,在发现XSS漏洞后,会利用跨站平台里面的......
  • 所属分类:脚本安全 更新时间:2016-12-13 相关标签: 阅读全文...
  • Pwnhub Web题Classroom题解与分析
  • Pwnhub 是一个面向安全研究人员的CTF对战平台,更官方一点的解释就是一个以各种安全技术为内容的竞赛平台。经过我们团队数个月的酝酿终于上线了。上线伊始,我出了一道Web题目,名字叫Classroom。 0x01 寻找源码 ......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 通过反射型 XSS 绕过配合 form-action 绕过 CSP
  • 本文来源:mottoin CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。CSP form-action指令可以限制页面......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 再谈 CSRF 攻击应对之道
  •  关于 CSRF 的攻击防御,网上已经给出了很多答案,我推荐 《CSRF 攻击的应对之道》。文章列举了三种方法,我就其中一种方法——在请求地址中添加 token 并验证,进行了改造,使它更符合我的需求。下面将......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • CSRF攻击-进击的巨人
  • 计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外: https://github.com/evilcos/papers 我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。 还包括以前提的Flash CSRF/......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • XSS 和 CSRF 两种跨站攻击
  • 差不多刚开始接触前端的时候,经常能看到一些早几年入行大牛们的简历,几乎所有人都会在简历中带上这么一句话:具备基本的 Web 安全知识(XSS / CSRF)。显然这已经成为前端人员的必备知识。 非常怀念那个 SQL 注......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • 脚本病毒之源码分析
  • 今天学习了一下脚本病毒感染模块的原理,了解感染模块的流程。准备好了吗,跟我一起在回顾一下吧! 脚本(Script)病毒是以脚本程序语言(如VB Script, JavaScript, PHP)编写而成的病毒。实际上,用任何语言都可以编写病......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • cookies注入漏洞
  • 嘿嘿,我的方法和linzi一样,当然是用cookies提交啦。 我以前写过一篇文章《安全检测时发现的一些漏洞》,其中有一段就是针对的这种情况,我把它摘录过来,希望有用: -- 三、通用防注入原来形同虚设 这是个很大......
  • 所属分类:脚本安全 更新时间:2016-11-16 相关标签: 阅读全文...
  • Cookie窃取攻击
  • Cookie窃取攻击 XSS跨站攻击就是攻击者通过一些正常的站内交互途径(发布文章、添加文章、发送邮件、留言),提交含有恶意JavaScript脚本代码的文本内容。如果服务器端没有过滤这些恶意脚本,反而将其作为网站内容......
  • 所属分类:脚本安全 更新时间:2016-11-13 相关标签: 阅读全文...
  • XSS全解析—初探
  • 前些时间准备面试的时候一直会遇到这个XXS,寥寥几句话好像很简单,后来看到同学的《XSS跨站脚本攻击剖析与防御》这本书,稍微翻看了一下,其中的学问还是挺多的。这系列的文章就当做读书笔记吧。 什么是XXS 听过......
  • 所属分类:脚本安全 更新时间:2016-11-10 相关标签: 阅读全文...
  • Sql注入之sqlmap+dvwa实例演练
  • 相信很多同学都已经知道了什么是sql注入,也明白为什么会发生sql注入。也可以通过在输入框和url中“手工”注入,来实现绕过登录、非法修改这样有趣又实用的功能。但这些还远不能让我们感觉到sql注入的巨大威力。 你......
  • 所属分类:脚本安全 更新时间:2016-10-29 相关标签: 阅读全文...
  • Web安全之XML注入
  • XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改......
  • 所属分类:脚本安全 更新时间:2016-10-29 相关标签: 阅读全文...
  • 各种浏览器之间Xss代码执行的差别
  • 0x01: 1 <img onmouseover=alert(1)> 这个payload在chrome or firefox下是执行不了的,解析不出图片,因为没有src属性,而在IE中能解析,图片高度为28,宽......
  • 所属分类:脚本安全 更新时间:2016-10-25 相关标签: 阅读全文...
  • 使用XML内部实体绕过Chrome和IE的XSS过滤
  • 简介 假如你要让Web应用在后台执行某些XML处理任务的话,那么你将很有可能受到XSS攻击(跨站脚本攻击)。我之所以会这样说,是因为安全研究人员发现,攻击者现在可以使用XML内部实体来绕过目前常见浏览器的XSS过滤......
  • 所属分类:脚本安全 更新时间:2016-10-21 相关标签: 阅读全文...
  • 渗透工具之sqlmap
  • 简介 sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。 常用参数解释 Options(选项) --version 显示程序的版本号并退出......
  • 所属分类:脚本安全 更新时间:2016-10-19 相关标签: 阅读全文...
  • python小脚本-提取邮箱
  • 使用python正则表达式,在一堆各种字符中提取是邮箱名的字符串。 import refile = open("AT.txt")c=[]for line in file.readlines(): contant = re.findall(r"[\w\d\.-_]+(?=\@)",line) mail=list(set(contant)) ......
  • 所属分类:脚本安全 更新时间:2016-10-17 相关标签: 阅读全文...
  • 科普入门xss,附带实战
  • XSS跨站脚本攻击的基本原理和SQL 注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 关于SQL注入与避免
  • 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 揭秘——黑客是如何使用xss的
  • 作者:noneface 链接:https://zhuanlan.zhihu.com/p/22861567 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 0x00 什么是xss 跨站脚本攻击(Cross Site Scripting),为......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集