admin的文章

12年前 (2014-03-09) 2757浏览 0评论

使用HTTPS加密连接访问网站可以防止监听。监听者顶多能知道你访问的网站IP地址，而不知道具体访问了哪个网页。但现在安全研究人员发表了一篇学术论文《I Know Why You Went to the Clinic: Risks and Realiz...

12年前 (2014-03-09) 2664浏览 0评论

网站 <script type="text/javascript" language="JavaScript"> //: 判断网页是否加载完成 document.onreadyst...

12年前 (2014-03-08) 2691浏览 0评论

1.CSRF漏洞的介绍和危害性                                图1-1  csrf漏洞的攻击过程 CSRF（Cross-site request forgery跨站请求伪造）通常缩写为CSRF或者XSRF。CSRF使黑...

12年前 (2014-03-08) 16800浏览 4评论

Mysql在执行语句的时候会抛出异常信息信息，而php+mysql架构的网站往往又将错误代码显示在页面上，这样可以通过构造如下三种方法获取特定数据。 实际测试环境： mysql> show tables; +----------------+...

12年前 (2014-03-07) 2177浏览 0评论

在还没开始W3A Scan以前，从未考虑过插件结构这么个东西。直到想起以后更新功能的各种问题， 我发现应该要考虑插件结构，晚上回家的时候问了下好基友。他说没接触过，但大体明白。。。瞬间就结了。说半天还是没你弄懂。。。 最后还是昨晚自己去搜了下有关的资...

12年前 (2014-03-07) 1598浏览 0评论

Casey问我：“对于新手，有什么有针对性的诀窍来阅读大型代码库吗？” 碰巧，我认为这是一个非常好的问题。我觉得想要成为一个优秀的开发者，阅读代码库并弄清清楚内部是怎么回事的能力非常重要。在你的职业生涯中你会中途加入一个现有的项目并被要求迅速融入进去...

12年前 (2014-03-07) 1577浏览 0评论

什么是桥接？ 简单来说，桥接就是把一台机器上的若干个网络接口“连接”起来。其结果是，其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。 交换机就是这样一个设备，它有若干个网口，并且这些网口是桥接起来的。于是，与交换...

12年前 (2014-03-07) 2170浏览 0评论

一、信息搜集（这个是先决条件了，一般成败就在于这里） 主要对于子域名（2级、3级、4级）；管理员（工作人员、运维、其他有权限的，程序员） IP段收集（不过现在CDN较多，能获取真实IP可以说是对下一步的检查工作有巨大的帮助） 邮件收集（工作人员、运维...

12年前 (2014-03-07) 1295浏览 0评论

漏洞形成原因： 首先会从受信任网站预加载链接(比如百度) 并显示摘要 并且会把被编码内容给转码回来！ 于是便出现了：XSS ！   首先这个下午注定是不平凡的 因为我到现在还没得午饭吃！ 好吧不扯了，这个XSS是由大黑阔 superhei ...

12年前 (2014-03-06) 1398浏览 0评论

目标www.xxx.com 主站看了下，发现了目录遍历但是下载不下来 接着找到了后台弱口令进不去。   然后扫了下旁站 一共100多个， 目测还是IIS8.0   尼玛 肯定是虚拟空间商 然后找了个旁站，弱口令进去了   ...

12年前 (2014-03-06) 2003浏览 0评论

运行虚拟机时经常出现无响应的情况，懒得等恢复响应，就选择了结束虚拟机。由于这是非正常关闭虚拟机，会导致在打开时会显示“此虚拟机似乎正在使用中。如果此虚拟机已在使用中，请按“取消”按钮，以免损坏它。如果此虚拟机未使用，请按“取得所有权(&T)”...

12年前 (2014-03-05) 2474浏览 0评论

0x00 前言 最近有人问到ASP.NET里面的数据库连接信息一般去哪里找。 这里我简单总结一下我遇到过的一些情况，和大家分享一些简单的方法去找ASP.NET的数据库连接信息或数据库文件。   0x01 寻找方式 先说一般的数据库连接...

12年前 (2014-03-05) 1669浏览 0评论

目前市面上web漏扫均可以轻易的检测出以GET或POST方式传参的sql注入点，在实际测试过程中，笔者发现多数漏扫检测HTTP头注入问题的能力还不是太理想，这里分享下笔者对于HTTP头注入的发现和利用过程，欢迎各位大牛批评指正。 0×01、HTTP头...

12年前 (2014-03-05) 2302浏览 0评论

利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中。 漏洞影响Android 4.2之前的版本，Google在Androi...

12年前 (2014-03-05) 5759浏览 0评论

Crossday Discuz! Board（简称 Discuz!）是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来，Discuz!已拥有11年以上的应用历 史和200多万网站用户案例，是全球成熟度最高、覆盖率...

12年前 (2014-03-05) 2308浏览 0评论

1、http://www.wooyun.org/bugs/wooyun-2013-034003 <textarea/>"><img src=1 onerror="with(document)body.app...

12年前 (2014-03-05) 1964浏览 0评论

I was reminded by a recent article of an obscure and dangerous property of PHP’s preg_replace() function which can lead...

12年前 (2014-03-05) 1562浏览 0评论

摘要：Hadoop主要用来存储海量数据，R语言则完成MapReduce算法，替代Java的MapReduce实现。有了R语言与Hadoop结合而成的强大工具RHadoop，广大R语言爱好者甚至可以处理PB级大数据，大数据带来的单机性能问题一去不复返了...

12年前 (2014-03-05) 1266浏览 0评论

2014-03-04 程序员的那些事 作为一个软件开发者，你一定会对网络应用如何工作有一个完整的层次化的认知，同样这里也包括这些应用所用到的技术：像浏览器，HTTP，HTML，网络服务器，需求处理等等。 本文将更深入的研究当你输入一个网址的时候，后...

12年前 (2014-03-05) 2364浏览 0评论

摘要：不顾谷歌CEO阻拦，WhatsApp最终以190亿美元的价格花落Facebook。能获如此天价与其月4.5亿的活跃用户是分不开的，同样不可或缺的还有支撑每日数百亿消息的高可靠架构。 【编者按】以190亿美元的价格出售给Facebook，交易谈判...