欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 利用CSRF漏洞对Open edX进行提权
  • 今天一早@MT在群里发了一个漏洞报告 Cross Site Request Forgery Bug in edX LMS 报告显示这是一个高危漏洞,报告里说: In one specific case users could potentially escalate their privileges via an atta......
  • 所属分类:脚本安全 更新时间:2016-06-21 相关标签: 阅读全文...
  • 漫谈shell脚本
  • 一. 关于shell shell,英文是壳,外壳的意思,至于在计算机中,同样有这样的一层意思,也就是可以将shell看做是计算机系统封装的一层外壳,来供用户使用,因此,用户可以通过操纵shell也就是输入一系列命令来达到各......
  • 所属分类:脚本安全 更新时间:2016-06-15 相关标签: 阅读全文...
  • (翻译)新型钓鱼-利用OAuth钓鱼
  • 从近年来很多著名的攻击事件来看,有很大一部分是从钓鱼攻击开始的,企业由于没有对用户进行双因子认证,使得攻击者通过钓鱼获取到了用户名密码后就能直接进入内网。 这篇文章要阐述的是一种更为难以防御的攻击方法......
  • 所属分类:脚本安全 更新时间:2016-06-09 相关标签: 阅读全文...
  • 网站攻防之CSRF和XSS跨站脚本攻击
  • 进入正题之前,先扯一番:黑客本义并非某些人以为的利用网络干坏事的人,刚开始或者说现在的很多,黑客是以技术大牛的形式存在的,也就是在网络领域有一门专场的牛人。有些黑客不干坏事而是干好事,比如利用网站的漏......
  • 所属分类:脚本安全 更新时间:2016-06-08 相关标签: 阅读全文...
  • 浅谈新手在寻找XSS时所存在的一些误区
  • 1. 误区1: XSS,不是专门去“绕过”限制。 打个简单的比方,一个已经被层层把守的大门,面前荆棘无数,而你又单枪匹马的,怎么闯的进去? 这个时候你要意识到,走大门是不可能的。其实我们要突破的城防,有很多小......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • XSS-前端工程师最大的杀手攻击方式
  • 已有很多的相关文章了,wos只是提示一下大家 就不画轮子了,直接给链接,建议先看完本页内容后,在看链接地址上的内容 XSS跨站脚本攻击过程最简单演示:http://blog.csdn.net/smstongdetails/43561607 XSS攻击及......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • dede存储型xss,可打管理员!
  • 这个xss需要开启会员模块(想想光整出来的时候,意气风发的去看dede官网……) xss的位置为会员中心发布文章的地方 然后选择文章->发表 之后在详细内容中插入代码 <img src="1" onerror=“alert(......
  • 所属分类:脚本安全 更新时间:2016-06-05 相关标签: 阅读全文...
  • 如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞
  • 当想要在服务器的开source脚本代码中发掘跨站脚本漏洞时,使用静态分析方法可以使我们的分析过程变得更加简单并且自动化,另外,网上也可以找到许多相关的工具。 我近期发现了一种通过寻找共性pattern在PHPsource码......
  • 所属分类:脚本安全 更新时间:2016-06-03 相关标签: 阅读全文...
  • LIMIT 的SQL注入问题
  • SQL注入 前言: 今天跟小伙伴一起做三个白帽的测试题,挺有意思的一个点,学了一些新姿势。 环境: mysql 5.5 windows 10 PHP 5.6 1 2 3 mysql 5.5 windows 10 PHP 5.6 前言: mysql几乎在......
  • 所属分类:脚本安全 更新时间:2016-06-02 相关标签: 阅读全文...
  • python发送电子邮件模块smtplib
  • 一.简介: 电子邮件是最流行的互联网应用之一,在系统管理中,经常需要使用邮件来告警信息,业务质量报告等。方便运维人员在第一时间了解业务的服务状态,将通过使用python的smtplib模块来实现邮件的发送功能,能模......
  • 所属分类:脚本安全 更新时间:2016-05-30 相关标签: 阅读全文...
  • MSSQL Union注入新手教程
  • 今天,我将通过这篇文章来一步一步教会大家如何进行MSSQL Union注入。在这篇文章中,我只会对相关的基础知识内容进行讲解。因为我发现在网上目前没有很多相关的教程,而且目前已有的教程中也并没有讲解得非常详细,......
  • 所属分类:脚本安全 更新时间:2016-05-27 相关标签: 阅读全文...
  • 在现代web应用程序中的CSRF
  • CSRF或跨站点请求伪造(Cross-Site Request Forgery)在2013年的OWASP的前十名排名中排第8名。 引用OWASP的一个关于CSRF的简短介绍: 跨站点请求伪造(CSRF)是一种迫使一个终端用户在web应用程序上执行其不想进行的操......
  • 所属分类:脚本安全 更新时间:2016-05-27 相关标签: 阅读全文...
  • xss攻击利用(心得)
  • 提起xss很多人说不就是一个弹窗么?不过得确,我们现在所接触到的xss就是一个xss来证明它存在xss漏洞就可以了,但是xss的功能就只有一个弹窗么?可远远不止哦!  我们先来简单的介绍一下xss:xss又叫CSS(Cross-......
  • 所属分类:脚本安全 更新时间:2016-05-26 相关标签: 阅读全文...
  • 看我如何用XSS“干掉”8/9的顶级杀软厂商
  • 在过去的十年里,世界上已经有数以百万计的人在电脑上装了杀毒软件。在本文中,我们针对世界上Top 9杀软公司的网站里攻克下了8个,成功实现了XSS的利用。 前言 现如今的杀软已经非常成熟,还拥有了针对ransomwar......
  • 所属分类:脚本安全 更新时间:2016-05-23 相关标签: 阅读全文...
  • 新手教程:如何利用CSRF执行XSS攻击
  • 我将拿出最近发生的一个例子,讲解如何将一些低级别的风险连接起来形成一个向量,然后达到攻击的目的。 背景介绍 首先介绍背景条件,我发现一个网站的用户资料页面上有一个持久性XSS漏洞。然而只能是用户修改自己......
  • 所属分类:脚本安全 更新时间:2016-05-21 相关标签: 阅读全文...
  • GNURadio For Windows编译安装脚本v1.1.1发布
  • GNURadio也能在Windows上运行了,安装GNURadio时,会自动化下载一系列powershell脚本,在源里进行build。然后它依赖为64位原生二进制文件,使用Visual Studio 2015打包成.msi。 如果你想要了解更详细的内容,请......
  • 所属分类:脚本安全 更新时间:2016-05-19 相关标签: 阅读全文...
  • 渗透测试常用脚本打包
  • 在渗透测试的过程中我们经常会需要查找或者处理,收集一些信息  项目首页:  https://github.com/leonteale/pentestpackage  项目简介:  PentestPackage 就是一个将这些常用的操作需要用的脚本做了一个......
  • 所属分类:脚本安全 更新时间:2016-05-17 相关标签: 阅读全文...
  • 内网渗透防御:如何防御Hash注入攻击
  • 渗透测试人员对Pass-the-Hash(PtH)攻击都很熟悉。我们常在渗透测试中用到它。如果你的职责包括网络入侵防御,你至少应该了解其攻击方法。不管你有多少经验,你对问题了解得可能不深,或许还不知道它是怎么解决的,......
  • 所属分类:脚本安全 更新时间:2016-05-13 相关标签: 阅读全文...
  • WordPress 4.5.1 XSS
  • 一般来说, 开源CMS所使用的Flash文件也都来自其他的开源项目, 所以直接获取WordPress所使用的SWF文件的actionscript源码并不是一件困难的事情. 以本次漏洞的目标文件 wp-includes/js/mediaelement/flashmediaelemen......
  • 所属分类:脚本安全 更新时间:2016-05-13 相关标签: 阅读全文...
  • Web 应用程序常见漏洞 CSRF 的入侵检测与防范
  • 互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象,而在软件开发周期中,加入对产品安全问题的检测工作,将极大的提升对应安全问题解决的成本,对维护一个好的产品形象至关重,在竞争愈烈的网络应用产......
  • 所属分类:脚本安全 更新时间:2016-05-11 相关标签: 阅读全文...
  • 利用burp的扩展测试sql盲注漏洞
  • In the Using Burp to Detect Blind SQL Injection Bugs article, we examined a few possible means of detecting blind SQL injection vulnerabilities. In this article we go one step further and exploit the......
  • 所属分类:脚本安全 更新时间:2016-05-10 相关标签: 阅读全文...
  • sqlmap支持自动伪静态批量检测
  • 0x00 前言 由于还找到一款比较适合批量检测sql注入点的工具(proxy+sqlmapapi的方式批量检测之类的批量sql注入点检测),我的目光就转向了sqlmap。虽然sqlmap没有支持伪静态注入点的测试(需要手动添加注入标记),......
  • 所属分类:脚本安全 更新时间:2016-05-10 相关标签: 阅读全文...
  • Webgoat之Injection Flaws
  • 这一节讲的是命令注入攻击。该攻击对任何一个以参数驱动的站点来说都是一个严重威胁。如下图所示: 该页面就是一个选择所需查看的文档,然后下方显示文档内容的页面。其存在的漏洞就是后台可以执行用户输入的命令......
  • 所属分类:脚本安全 更新时间:2016-05-10 相关标签: 阅读全文...
  • 介绍sqlmap中的SQL注入filter逃逸
  • 每当我发现一个SQL注入漏洞时,我都会在注入点使用sqlmap。这是一个操作简单易于使用的工具,不仅能证实漏洞,而且还可以提取相关数据、获得执行命令,以及执行进一步的实验操作。如果碰到filter或是网络应用防火墙,......
  • 所属分类:脚本安全 更新时间:2016-05-07 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集