欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 用 NSURProtocol 注入测试数据
  • 在之前的几篇博文中,笔者介绍过访问异步网络的单元测试方法及如何使用模拟对象来进一步控制单元测试的范围。在今天的教程中,笔者将展示另一种方法,即:通过自定义 NSURProtocol 类来获取静态测试数据,从而为测试......
  • 所属分类:脚本安全 更新时间:2016-01-31 相关标签: 阅读全文...
  • 雅虎邮箱XSS漏洞细节分析
  • 本月雅虎邮箱爆出了一个XSS漏洞,该漏洞允许代码嵌入特殊格式的电子邮件。在用户预览邮件时,不知不觉就会自动触发XSS。 影响WEB邮箱的XSS漏洞 我们向雅虎提交了一个电子邮件的POC,它能直接把受害者的收件内容转......
  • 所属分类:脚本安全 更新时间:2016-01-29 相关标签: 阅读全文...
  • XSS探究:不安全的EZDATA脚本
  • 在写这篇文章的时候,我并不清楚该脚本的作者是谁,但有很多的网站有这个漏洞。在这篇文章中,我将对"EZDATA"这个不安全的脚本进行分析。 我是在浏览Alexa top 500网站时发现的这个脚本。 有漏洞的JavaScript脚本如......
  • 所属分类:脚本安全 更新时间:2016-01-27 相关标签: 阅读全文...
  • db_owner权限得到webshell我的两点改进
  • 减少备份文件大小,得到可执行的webshell成功率提高不少,一利用差异备份 加一个参数WITH DIFFERENTIAL declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 ba......
  • 所属分类:脚本安全 更新时间:2016-01-26 相关标签: 阅读全文...
  • magento存储型xss详细分析
  • 影响版本:Magento CE <1.9.2.3 and Magento EE <1.14.2.3 0x00 Magento简介 Magento (麦进斗) 是一套专业开源的电子商务系统。传说中的全球第一的电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富......
  • 所属分类:脚本安全 更新时间:2016-01-26 相关标签: 阅读全文...
  • 使用PowerShell脚本做Windows键盘记录器
  • 最近终于有机会为我经常借鉴学习的项目 PowerSploit 做出了贡献。 在2015年圣诞节后,当我正在匆匆的浏览并准备删除邮件时,我发现了一个关于键盘记录器的问题。Coldalfred 写到“当我默认或者以参数 -PollingInter......
  • 所属分类:脚本安全 更新时间:2016-01-26 相关标签: 阅读全文...
  • 使用VNC访问VPS的XWindows桌面
  • 一般的VPS都提供了SSH得登录方式,通过terminal操作服务器, 除了这种方式,还有让VPS拥有XWindows的Desktop操作模式。 在这里概要的总结一下,如何用VNC访问VPS上的Linux桌面系统。 1:首先要给linux安装桌面系......
  • 所属分类:脚本安全 更新时间:2016-01-24 相关标签: 阅读全文...
  • 浅谈开启magic_quote_gpc后的sql注入攻击与防范
  • 通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默......
  • 所属分类:脚本安全 更新时间:2016-01-23 相关标签: 阅读全文...
  • 由“最近访客”引起的xss血案
  • 最近在首页粗糙地做了一个“最近访客”功能。 然后我的首页就出现了各种有趣的家伙: 还有: 作为一名专业的前端,我居然被xss攻击了。 在首页弹这个框,我真是: 原因 在拼接“最近访客”的时候,......
  • 所属分类:脚本安全 更新时间:2016-01-19 相关标签: 阅读全文...
  • 最牛「CSRF防护」,带你进入大虾们的圈子!
  • 简单理解 CSRF 最牛「CSRF防护」,带你进入大虾们的圈子! 什么是 CSRF? CSRF,通常称为跨站请求伪造,英文名 Cross-site request forgery 缩写 CSRF,是一种对网站的恶意攻击。一个跨站请求伪造攻击迫使登......
  • 所属分类:脚本安全 更新时间:2016-01-18 相关标签: 阅读全文...
  • XSS前端安全之内嵌事件拦截
  • 这两天一个头条的新闻就是:微信公开课pro和微信链接能够盗取支付宝账号,使得好好的一个活动变成了这样。作为一个前端工作者,有哪些前端的问题值得关注呢?XSS,HTTPS,这几天会分享一些这方面的知识。 以下来自......
  • 所属分类:脚本安全 更新时间:2016-01-16 相关标签: 阅读全文...
  • XSS 前端安全之可疑模块拦截
  • 上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。 由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信......
  • 所属分类:脚本安全 更新时间:2016-01-16 相关标签: 阅读全文...
  • iPhone 某处储存型XSS(已返回数据库地址等信息)
  • 0x01  那天有人向我推荐了一个叫 ONE PASSWORD 的软件: 这个可以同步云端,还有不同终端进行密码传输。  但是跟今天的漏洞有什么关系呢?  这个软件使用的云,跟别人的云不同。它使用的是 ......
  • 所属分类:脚本安全 更新时间:2016-01-16 相关标签: 阅读全文...
  • 绕过XSS长度限制实例讲解
  • 昨晚跟黑霸语音了一晚上,无聊想再搞搞那个博彩站点。上去一顿注入无果,于是打算从XSS下手。首先找到了第一个XSS,丢了过去 绕过XSS长度限制实例01–90Snake  结果是我被黑霸这傻逼嘲笑了。。。。......
  • 所属分类:脚本安全 更新时间:2016-01-13 相关标签: 阅读全文...
  • Nginx中防止SQL注入攻击的相关配置介绍
  • 防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号' , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite进......
  • 所属分类:脚本安全 更新时间:2016-01-09 相关标签: 阅读全文...
  • FLARE脚本系列:自动解码混淆字符串
  • 介绍 这篇文章拓展了高级逆向工程(FLARE)脚本系列的一个工具——调试器。 像IDA Pro的调试器有一些脚本接口。一些软件也有自己的调试脚本,比如OllyDbg采用的是ASM-like脚本语言,Immunity debugger里......
  • 所属分类:脚本安全 更新时间:2016-01-04 相关标签: 阅读全文...
  • 黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析
  • 最近黑产利用腾讯邮箱的漏洞组合,开始频繁的针对腾讯用户实施攻击。 其利用的页面都起名为godlike.html,所以我们把这起攻击事件命名为godlike。 主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是......
  • 所属分类:脚本安全 更新时间:2015-12-31 相关标签: 阅读全文...
  • 一周PowerShell脚本Day 5:DNS和ICMP脚本
  • 欢迎来到一周PowerShell脚本的第五天,今天我们将讨论使用ICMP和DNS的交互式PowerShell脚本。 通常情况下防火墙都不会主动过滤ICMP和DNS数据包,这就让我们可以使用它们。下面就让我们来看看具体怎么利用吧。 对于......
  • 所属分类:脚本安全 更新时间:2015-12-24 相关标签: 阅读全文...
  • 一周PowerShell脚本Day 4:WMI脚本
  • 欢迎来到一周Powershell脚本的第四天。今天我所将讨论的脚本跟前几天的大不相同,我们将讨论利用WMI的脚本(更多关于WMI请查看这里) 利用Invoke-WmiMethod命令行我们可以执行PowerShell命令和使用WMI执行脚本。但是命......
  • 所属分类:脚本安全 更新时间:2015-12-23 相关标签: 阅读全文...
  • 一周PowerShell脚本Day 3:HTTPS脚本
  • 欢迎来到一周PowerShell脚本的第三天,今天我们将讨论HTTP/HTTPS。 我们往往都是出于安全方面的考虑才使用HTTPS的,正是因为有这样的考虑所以HTTPS流量经常会被系统管理员或安全人员所忽视。这就使得HTTPS成为了我们......
  • 所属分类:脚本安全 更新时间:2015-12-22 相关标签: 阅读全文...
  • 一周PowerShell脚本Day 2:UDP交互式PowerShell脚本
  • 欢迎来到一周PowerShell脚本的第二天。今天我会介绍使用UDP的交互式PowerShell脚本。我喜欢使用UDP,因为很多安全团队和厂商都会习惯性的忽略它。我也曾在客户的环境中发现像53,161甚至389这些UDP端口没有被正确的过......
  • 所属分类:脚本安全 更新时间:2015-12-21 相关标签: 阅读全文...
  • 绕过 Cisco TACACS+ 的三种攻击方式
  • 原文地址:3 attacks on cisco tacacs bypassing 在这篇文章中,作者介绍了绕过 Cisco 设备的 TACACS 的三种方式。 No.1 利用 DoS 攻击绕过 Cisco TACACS+ No.2 本地爆破 PSK 绕过 Cisco TACACS+ No.3 利用......
  • 所属分类:脚本安全 更新时间:2015-12-20 相关标签: 阅读全文...
  • 利用location来变形我们的XSS Payload
  • 这篇文章是前段时间从某群中学到的姿势,我分享出来~ 在XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。 举个例......
  • 所属分类:脚本安全 更新时间:2015-12-20 相关标签: 阅读全文...
  • 预防XSS攻击,(参数/响应值)特殊字符过滤
  • 一、什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制—&md......
  • 所属分类:脚本安全 更新时间:2015-12-20 相关标签: 阅读全文...
  • 一周PowerShell脚本Day 1:TCP交互式PowerShell脚本
  • PowerShell作为渗透测试人员的常用工具这里在无需过多介绍。随着Windows系统的紧密集成,这就允许我们做各种有趣的事情,其他使用PowerShell的黑客和我都花了很多时间在PowerShell编程上面。 但在我的讲座和培训期间......
  • 所属分类:脚本安全 更新时间:2015-12-19 相关标签: 阅读全文...
  • C段查询之在Java中实现的命令行版
  • 一 介绍 这是我用Java写的一个C段查询的工具,目前还在完善中,现在只有一个命令行版的,GUI界面还没有写。由于用的是免费的接口,因此请求过快会出现各种异常,所以当每个IP查询后我都让线程休眠了2秒钟。总体算下......
  • 所属分类:脚本安全 更新时间:2015-12-07 相关标签: 阅读全文...
  • NodeJs后门程序
  • 从语言下手,来写一个市面没有的后面程序。 0x01 为什么选择NodeJs 我个人非常喜爱JavaScript这门语言,而我们今天所说的就是NodeJS,JavaScript语言的一个分支。NodeJS本身就是一个Web 服务器同时他还是一门后端语......
  • 所属分类:脚本安全 更新时间:2015-12-06 相关标签: 阅读全文...
  • IE安全系列之——IE中的ActiveX(II)
  • 0x00 使用Fuzz工具 ActiveX的Fuzzer相当之多,本次我们暂时使用一个老牌但是性能较弱的开源Fuzzer:COMRaider。选择它的原因是它是一个图形化的Fuzzer,界面元素简单。但是说弱则是因为它的测试用例实在太少,而且比......
  • 所属分类:脚本安全 更新时间:2015-12-06 相关标签: 阅读全文...
  • sqlmap新手注入
  • 一 什么是sqlmap 1 sqlmap is an open source penetration testing tool that automates the 2 process of detecting and exploiting SQL injection flaws and taking over of 3 database servers. It comes wit......
  • 所属分类:脚本安全 更新时间:2015-12-04 相关标签: 阅读全文...
  • mail.qq.com DOM XSS
  • 首先发现一处getcontent http://mail.qq.com/cgi-bin/readtemplate?t=compose✓=false&getcontenturl=http://mail.qq.com/test 查看调用的函数 if(c&&/^https?:\/\/([\w]+\.)?mail\.qq\.com(......
  • 所属分类:脚本安全 更新时间:2015-12-02 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集