admin的文章

11年前 (2014-02-11) 3120浏览 2评论

Egor Homakov（Twitter: @homakov 个人网站: EgorHomakov.com）是一个Web安全的布道士，他这两天把github给黑了，并给github报了5个安全方面的bug，他在他的这篇blog——《How I hack...

11年前 (2014-02-11) 1833浏览 0评论

随着网络时代的飞速发展，网络安全问题越来越受大家的关注。当年杀遍大江南北的SQL注入攻击也随着各种防注入软件、waf或者CDN的出现开始慢 慢离我们而去。一种非实时的攻击手段XSS跨站脚本攻击逆流而上，慢慢的开始在最近几年崛起，充分印证了“没有绝对的...

11年前 (2014-02-10) 2082浏览 0评论

前些日子逛福州路外文书店，在3楼发现的。 这种词典，超赞之处就是在于直接建立图像和英文单词之间的联系，而不是中文和英文之间关系。而且分门别类，可以用来掌握，你需要应用的场景的知识。 说说我学外语的体会。我上大学的时候，很少好好听讲，但是中...

11年前 (2014-02-10) 1449浏览 0评论

这不是一篇介绍介绍技术的文章，只是一种开放思维的尝试。主要着重于当遇到输入过滤的情况下，如何找到可以利用的输入点。 本质上来说如果要进行xss攻击，只要找到一个未过滤的输入点。输入的数据在支持脚本的软件（不仅限于浏览器）里解析就可以了。sqli也是...

11年前 (2014-02-10) 1555浏览 0评论

首先，我不是社工大牛。我只是谈下我个人的观点。 我只提供几个思路给大家，欢迎补充。 在这里我把我们要社工的人叫做A。 第一、 先在网上搜索他的QQ号，一般会得到百度贴吧、百度知道等一系列bbs。其中最有用的就是百度贴吧，里面包含了很多信息，比如学校、...

11年前 (2014-02-10) 2539浏览 0评论

转自：http://blackbap.org/post/the_real_fucking_whitehat_in_wooyun 北京时间2014年1月23日晚上8点24分，有一位乌云的白帽子在乌云社区发了一篇名为《习科论坛疑似被人搞了，提交了还没被...

11年前 (2014-01-22) 3942浏览 0评论

配置一个Email服务器很简单，用Postfix等软件稍微配置一下就可以了，几分钟搞定。但Email服务器发出去的Email很 可能经常被人当成垃圾邮件，怎么配置Email服务器才能让Email服务器发出的Email不被认为是垃圾邮件？瑞豪开源根据自...

11年前 (2014-01-21) 2869浏览 0评论

最近写了一些测试工具，经常希望能动态的查看日志文件，试了好些文本编辑文件如Emeditor、Vim等，一直没找到合适。 我希望支持的功能有： 支持大文件读取，速度要快 自动加载新的内容，直接定位到最后一行，类似于Linux下的taif工具 支持自动...

11年前 (2014-01-21) 2063浏览 0评论

转自：http://www.bugsec.org/447.html 0x00 前言 在渗透测试和安全扫描工作中，发现越来越多站点部署了应用防护系统或异常流量监控系统，其中包括：WEB应用防火墙（软件WAF、硬件WAF、云 WAF）、入侵检测系统、入...

11年前 (2014-01-21) 6745浏览 1评论

Apache Tomcat/JBoss EJBInvokerServlet / JMXInvokerServlet (RMI over HTTP) Marshalled Object RCE漏洞利用 检测发现存在Apache Tomcat/JBos...

11年前 (2014-01-21) 2164浏览 1评论

2014-01-20 知道创宇 网站安全中心 一、背景 网络钓鱼：攻击者向网民发出欺骗性的信息，意图引诱网民给出敏感信息（如：QQ账号密码、银行卡信息、在线支付平台账号密码等）。   网络诈骗、网络钓鱼、伪基站、黑帽SEO、黑色产业...

11年前 (2014-01-21) 2192浏览 0评论

linux修改密码时，没有任何显示，担心输入错误，或者不想来回切换修改用户，就在非交互模式下修改密码。特别是WebShell下不能交互时，可以方便使用。 命令： echo 密码 | passwd --stdin 用户名 如果密码里面有特殊字符，可以加...

11年前 (2014-01-20) 3098浏览 3评论

一、上传绕过 注册一个网站时发现需要上传报名表，果断试一下有没有上传绕过。结果奇葩的发现允许上传的类型是在一个请求包中设置的，设置后网站使用flash上传。 果断在允许文件上传的扩展中加入.jsp来进行上传。 修改后继续上传，可以看到上传类型中允...

11年前 (2014-01-19) 1880浏览 0评论

再谈QQ史上最大的“后门” 为什么是“再谈”，因为这个安全问题已存在多年，且变成“讳疾忌医”的历史安全问题了，到底有多少人会因此受害，不得而知，堪称QQ的这个史上最大的“后门”。 我们先来科普腾讯单点登陆的某个工作流程，然后再说问题：  ...

11年前 (2014-01-19) 2293浏览 0评论

2013-05-20 今天的微博讨论围绕着腾讯电脑管家应急响应的<史上最大规模“54DNS劫持”已得到有效遏制>进 行，黑哥说了句：“猥琐流从科普到实际利用，看来需要比较长的时间～～”。确实是，很多猥琐的技巧，尤其是Web前端方面的，我...

11年前 (2014-01-17) 1634浏览 0评论

原文出处： 西西河 – 代码狗 我曾在淘宝写过一段时间代码，2012年在一家百强民企做电商副总，当时在极为艰苦的条件下带队开发了一个B2C网站，走支付宝和银联支付通道，年营业额千万级（当然实在太少了，我只是说这个网站投入了实际的运营）。 ...

11年前 (2014-01-17) 2015浏览 0评论

在重置密码时，收到邮件 但是点了过后，wordpress提示key是无效的 经过查看发现，生成的重置链接后面多了一个>，所以导致出错，所以，只要将>去掉就可以正常使用重置密码链接了。要想一劳永逸的解决，可以使用如下的解决办法： 方法一...

11年前 (2014-01-14) 1849浏览 0评论

近日由国外著名Linux媒体Linux Journal评选出了2013年度Linux领域最受欢迎的软件，内容包括了Linux平台游戏、发行版本等范围。下面，让我们一起来看下主要的评选内容。 1. 最佳Linux发行版本：Ubuntu 本项今年的评选很...

11年前 (2014-01-14) 1486浏览 0评论

作者：江湖大虾仁 分类：PHP 标签：php, 加密 评论：没有评论 php是目前最流行的web编程语言，没有之一。但由于php是解释执行的，源代码即程序，为了商业化（亦或是其他一些目的）加密是必不可少的。本系列将对国内常见/常用的一些php加密手段...

11年前 (2014-01-14) 1915浏览 0评论

其实我一直觉得整个入侵最重要的就是日志的清扫。但说实话国内很多站点的维护人员也都是业余人员，根本不会去看日志，入侵者也很少有重视这方面的。论坛上似乎还没有这方面的内容，所以我就来补充一下吧。 警告：此文为原创作品，仅发布于习科论坛(bbs(dot)b...