admin的文章

11年前 (2014-03-09) 2255浏览 0评论

0×00 背景 提起浏览器的同源策略，大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写，所以出现了一些hack的方式来跨域。比如在同域内做一个代理，JSON-P等。但这些方式都存在缺陷，无法完美的实现跨域读写。所...

11年前 (2014-03-09) 1614浏览 0评论

0x00 前言 很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http://hk.promotions.yahoo.com上发现的这个漏洞一样，那些临时站点往往成为我们强大安全...

11年前 (2014-03-09) 4184浏览 0评论

mysql 5.1以后提供了内置的XML文件解析和函数，所以这种注入只能用于5.1版本以后 主要涉及两个函数：ExtractValue()和UpdateXML() 首先看这两个函数的使用示例： 先建立一个带XML格式的示例数据库 CREATE TA...

11年前 (2014-03-09) 1453浏览 0评论

摘要 : 这两天微信POS机开始浮出水面，但真相完全还未触及底层，找到一位真正在做微信POS机的深喉，来完整解密微信POS机是怎么回事。 文/国仁(微信:hawkren 公众号:newhard) 这两天微信POS机开始浮出水面，但真相完全还未触及...

11年前 (2014-03-09) 1385浏览 0评论

摘要 : 糯米狙击阿里O2O 百度钱包杀入移动支付 【听杨姐说】​一直在争夺O2O市场的阿里和腾讯似乎已经忘了还有一个强大的对手——百度。​ 尽管糯米在人人网的手里并没有能够被SNS所带动，但看起来百度对于目前的阿里和腾讯的楚汉争霸非常不爽，他决心要...

11年前 (2014-03-09) 1412浏览 0评论

博文作者：XX 发布日期：2014-01-15 阅读次数：2271 博文内容： 引言 大眼系统是腾讯安全平台部从2008年起自主研发DDoS攻击发现系统，经过5年多的发展，已经发展成集DDoS攻击发现，入侵行为发现，基础数据分析于一身的网络流量分析系...

11年前 (2014-03-09) 1517浏览 0评论

腾讯安全零距离之大眼——大型网络流量分析系统   博文作者：BigHy 发布日期：2013-12-06 阅读次数：5495 博文内容：     引言      对 于服务海量用户的互联网公司的安全从业者而言，能够打造出一...

11年前 (2014-03-09) 1875浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

11年前 (2014-03-09) 2683浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

11年前 (2014-03-09) 2557浏览 0评论

网站 <script type="text/javascript" language="JavaScript"> //: 判断网页是否加载完成 document.onreadyst...

11年前 (2014-03-08) 2564浏览 0评论

1.CSRF漏洞的介绍和危害性                                图1-1  csrf漏洞的攻击过程 CSRF（Cross-site request forgery跨站请求伪造）通常缩写为CSRF或者XSRF。CSRF使黑...

11年前 (2014-03-08) 16717浏览 4评论

Mysql在执行语句的时候会抛出异常信息信息，而php+mysql架构的网站往往又将错误代码显示在页面上，这样可以通过构造如下三种方法获取特定数据。 实际测试环境： mysql> show tables; +----------------+...

11年前 (2014-03-07) 2099浏览 0评论

在还没开始W3A Scan以前，从未考虑过插件结构这么个东西。直到想起以后更新功能的各种问题， 我发现应该要考虑插件结构，晚上回家的时候问了下好基友。他说没接触过，但大体明白。。。瞬间就结了。说半天还是没你弄懂。。。 最后还是昨晚自己去搜了下有关的资...

11年前 (2014-03-07) 1461浏览 0评论

Casey问我：“对于新手，有什么有针对性的诀窍来阅读大型代码库吗？” 碰巧，我认为这是一个非常好的问题。我觉得想要成为一个优秀的开发者，阅读代码库并弄清清楚内部是怎么回事的能力非常重要。在你的职业生涯中你会中途加入一个现有的项目并被要求迅速融入进去...

11年前 (2014-03-07) 1482浏览 0评论

什么是桥接？ 简单来说，桥接就是把一台机器上的若干个网络接口“连接”起来。其结果是，其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。 交换机就是这样一个设备，它有若干个网口，并且这些网口是桥接起来的。于是，与交换...

11年前 (2014-03-07) 2068浏览 0评论

一、信息搜集（这个是先决条件了，一般成败就在于这里） 主要对于子域名（2级、3级、4级）；管理员（工作人员、运维、其他有权限的，程序员） IP段收集（不过现在CDN较多，能获取真实IP可以说是对下一步的检查工作有巨大的帮助） 邮件收集（工作人员、运维...

11年前 (2014-03-07) 1209浏览 0评论

漏洞形成原因： 首先会从受信任网站预加载链接(比如百度) 并显示摘要 并且会把被编码内容给转码回来！ 于是便出现了：XSS ！   首先这个下午注定是不平凡的 因为我到现在还没得午饭吃！ 好吧不扯了，这个XSS是由大黑阔 superhei ...

11年前 (2014-03-06) 1317浏览 0评论

目标www.xxx.com 主站看了下，发现了目录遍历但是下载不下来 接着找到了后台弱口令进不去。   然后扫了下旁站 一共100多个， 目测还是IIS8.0   尼玛 肯定是虚拟空间商 然后找了个旁站，弱口令进去了   ...

11年前 (2014-03-06) 1924浏览 0评论

运行虚拟机时经常出现无响应的情况，懒得等恢复响应，就选择了结束虚拟机。由于这是非正常关闭虚拟机，会导致在打开时会显示“此虚拟机似乎正在使用中。如果此虚拟机已在使用中，请按“取消”按钮，以免损坏它。如果此虚拟机未使用，请按“取得所有权(&T)”...

11年前 (2014-03-05) 2391浏览 0评论

0x00 前言 最近有人问到ASP.NET里面的数据库连接信息一般去哪里找。 这里我简单总结一下我遇到过的一些情况，和大家分享一些简单的方法去找ASP.NET的数据库连接信息或数据库文件。   0x01 寻找方式 先说一般的数据库连接...