最新消息:

最新发布 第25页

jinglingshu的博客--耐得住寂寞,才能守得住繁华

TSRC挑战赛: PHP防御绕过挑战实录
PHP代码审计

TSRC挑战赛: PHP防御绕过挑战实录

admin 11年前 (2014-07-27) 3376浏览 2评论

博文作者:雪人[TSRC白帽子] 发布日期:2014-07-23 阅读次数:1282 博文内容:   前一段时间有幸参加了由TSRC 发起的一个挑战赛。目标环境运行着一个正常的discuz应用,并且存在一个上传接口,该接口允许上传任意文件,...

解析检查 —— 存储型XSS漏洞解决方案
xss

解析检查 —— 存储型XSS漏洞解决方案

admin 11年前 (2014-07-27) 4050浏览 0评论

博文作者:大马胖子 发布日期:2014-06-24 阅读次数:675 博文内容:   TSRC编者按: Web2.0时 代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,...

绕过括号过滤实现XSS弹框
xss

绕过括号过滤实现XSS弹框

admin 11年前 (2014-07-27) 11650浏览 0评论

在客户现场遇到一个XSS,但过滤了括号(),没办法给客户弹框演示,所以需要绕过。 urlencode和htmlencode之类常规的都绕不了,并且类似alert、confrim、prompt之类的函数都有括号,这就犯了难了。 后来想了想,可以用dat...

如何定位获取IP是否为最终网站IP地址
安全知识

如何定位获取IP是否为最终网站IP地址

admin 11年前 (2014-07-27) 2497浏览 0评论

1.问题来源概述 我们在日常的渗透工作中、或接单中通常需要通过客户提供的域名信息解析其公网地址, 这方面的工具很多(比如通过系统自带的nslookup命令或站长工具等)我就不再浪费篇章了。但是 由于目前网站加速技术的普遍应用(比如CDN加速),导致我...

WordPress 又拍云存储插件 Upyun For WordPress
wordpress

WordPress 又拍云存储插件 Upyun For WordPress

admin 11年前 (2014-07-27) 2169浏览 0评论

又拍云存储 是一个静态文件CDN加速服务,又拍云存储分布全国的 CDN 加速网络,采用电信、联通、移动、教育网四线带宽,不限制带宽峰值,并通过高速缓存、智能解析、负载均衡技术,为用户计算最快访问机房,与传统的IDC相 比,图片打开速度提升60%-30...

Python 爬虫抓站的一些技巧总结
Python

Python 爬虫抓站的一些技巧总结

admin 11年前 (2014-07-26) 5595浏览 1评论

“入门”是良好的动机,但是可能作用缓慢。如果你手里或者脑子里有一个项目,那么实践起来你会被目标驱动,而不会像学习模块一样慢慢学习。 另 外如果说知识体系里的每一个知识点是图里的点,依赖关系是边的话,那么这个图一定不是一个有向无环图。因为学习A的经验可...

Ubuntu下安装Redis
linux

Ubuntu下安装Redis

admin 11年前 (2014-07-26) 2765浏览 0评论

1.获取redis源码 wget http://download.redis.io/releases/redis-2.8.13.tar.gz 2.解压,设置权限 tar zxvf redis-2.8.13.tar.gz chmod 777 redi...

关于redis、memcache、mongoDB 的对比
工作

关于redis、memcache、mongoDB 的对比

admin 11年前 (2014-07-26) 1965浏览 0评论

从以下几个维度,对redis、memcache、mongoDB 做了对比,欢迎拍砖 1、性能 都比较高,性能对我们来说应该都不是瓶颈 总体来讲,TPS方面redis和memcache差不多,要大于mongodb 2、操作的便利性...

轻易制作Bootstrap模板并输出HTML格式 – lollytin
工具

轻易制作Bootstrap模板并输出HTML格式 – lollytin

admin 11年前 (2014-07-26) 2152浏览 0评论

lollytin是一个专门制作Bootstrap 3模板的在线工具,有了它,用户不需要懂HTML代码和CSS样式就能制作一个流行的网站出来。 你可以在几分钟内出一个BS模板,并且是HTML网页格式,最终用户只需要替换上自己的图像和文字即可。 lol...

一比特之差:无需利用漏洞的DNS劫持
安全知识

一比特之差:无需利用漏洞的DNS劫持

admin 11年前 (2014-07-26) 1837浏览 0评论

Bitsquatting表示去注册一个域名,它和知名的域名只有一个bit的差别。这个单词源自 typosquatting,意为注册一个和知名域名只有一字之差的域名。在解析域名时,bitsquatting可能通过DNS导致计算机上的硬件错 误。关于bi...

现实中的排队算法问题:为什么排队时你似乎总会选择最慢的队伍
业界新闻

现实中的排队算法问题:为什么排队时你似乎总会选择最慢的队伍

admin 11年前 (2014-07-25) 1999浏览 0评论

为了赶紧买到个东西,你跑进了百货商店。你匆匆忙忙地选好你要的商品,朝商店前方走去。在迅速瞄了一眼收银处排的队伍之后,你选择了看上去最快的那列队伍。 你的选择大错特错。那些在你选择了队伍之后才在其他队伍排队的人已经付完帐去停车场了。为什么遇到这种事情的...

使用WiFi真的有那么危险吗
wifi

使用WiFi真的有那么危险吗

admin 11年前 (2014-07-25) 2187浏览 0评论

0x00 背景 在知乎专栏上看到一篇文章《WiFi里的猫腻》,作者继续之前宣传的路由威胁,在互联网上疯传,搞得周围好多不懂的朋友一直问: 路由这么危险,我该怎么办啊???   在这篇文章之前,作者及其团队成员就已经开始宣传路由的...

WiFi里的猫腻
wifi

WiFi里的猫腻

admin 11年前 (2014-07-25) 2853浏览 0评论

此刻,看我文章的你,WiFi信号如「摄魂怪」般地在你身体内肆无忌惮地穿梭着,这些信号分布在一些特定的频段上,信号加密传输着,除了「法拉第笼」,没什么能阻止这些信号扩散着,功率大小仅能影响信号的传播距离。 你把你的一切隐私都交给了这个该死的路由器,路由...

浅谈TCP优化
C++

浅谈TCP优化

admin 11年前 (2014-07-25) 2149浏览 0评论

很多人常常对TCP优化有一种雾里看花的感觉,实际上只要理解了TCP的运行方式就能掀开它的神秘面纱。Ilya Grigorik 在「High Performance Browser Networking」中做了很多细致的描述,让人读起来醍醐灌顶,我大...

WordPress3.8.1xmlrpc.php拒绝服务漏洞
wordpress

WordPress3.8.1xmlrpc.php拒绝服务漏洞

admin 11年前 (2014-07-25) 7747浏览 0评论

WordPress 3.8.1 /xmlrpc.php 文件有ping其他主机的功能,通过这个功能可以请求多个站点,DDOS攻击别的网站。 1. wordpress Pingback 漏洞的发现 早在2012 年 12 月 17 日一些采用 PHP ...

利用xmlrpc.php对WordPress进行暴力破解攻击
Python

利用xmlrpc.php对WordPress进行暴力破解攻击

admin 11年前 (2014-07-25) 5143浏览 0评论

近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,启用了xmlrpc的同学需要尽快修复...

TSRC挑战赛: PHP场景中getshell防御思路分享
php安全

TSRC挑战赛: PHP场景中getshell防御思路分享

admin 11年前 (2014-07-24) 5173浏览 0评论

博文作者:pandas 发布日期:2014-07-23 阅读次数:846 博文内容:   1    背景概述   WEB应用漏洞导致的入侵时有发生,扫描器和WAF并不能解决所有的问题,于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸...

PHPTaint-检测xss/sqli/shell注入的php扩展模
php安全

PHPTaint-检测xss/sqli/shell注入的php扩展模

admin 11年前 (2014-07-24) 2923浏览 0评论

web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞。但如果能配合白盒的源码审计(也可以叫漏洞挖掘),效果将会更好,当然人力成本也会增加,其中,对于源码审计工作将交给谁做,是比较...