admin 12年前 (2013-09-22) 2339浏览 0评论

新装的火狐浏览器，结果右键搜索是谷歌，想把它换成百度，方法如下： 在地址中输入about:config修改： browser.search.selectedEngine browser.search.defaultenginename 转载请注明：...

admin 12年前 (2013-09-21) 1780浏览 0评论

我在做什么 曾经，我试过接到一些需求。一眼带过后，脑袋马上随着高昂的斗志沉溺在代码的世界中 ，马不停蹄地敲着键盘直到最后测试的完成。我从思绪中恢复过来，乍一看自己写的功能，和需求差了十万八千里，我TM都在干嘛？ 除此之外，我还见过类似的很好笑的事...

admin 12年前 (2013-09-21) 2259浏览 0评论

一个具有学习意义的XSS过滤器绕过 详细说明： 天涯过滤了一切JavaScript，治标不治本 漏洞证明： 这是目标页面 m.tianya.cn/sch/sch.jsp 1.我们先提交test试试 输出在了value属性 2.接下来我们用 R...

admin 12年前 (2013-09-21) 3204浏览 1评论

在做渗透测试的时候，有时候会遇到一个wordpress博客， 如果版本比较新，插件也没有漏洞的话，可以爆破用户名密码来尝试下。 大脑混沌情况下写的，有bug欢迎提出，由于是php的所以跑起来比较慢， 下次发包还是调用命令结合hydra来爆破。 原理是...

admin 12年前 (2013-09-21) 1740浏览 1评论

整个互联网其实就是三体世界中的黑暗森林，笔者之前有分析过，360收购搜狗的目的就是为了将其资源据为己有与百度大干一番。而搜狗的态度则是想要自由，但360要的就是全面控制。道不同不相为谋，搜狗选择了对腾讯投怀送抱。 到嘴的肉飞走了，360表面不动声...

admin 12年前 (2013-09-21) 1510浏览 0评论

0×01 概述在形形色色的互联网中，网站被挂马是非常严重的安全事件，因为这不仅标志着自己的网站被控制，而且还会影响到网站的用户，不管是杀毒软件的“友情”提示还是用户中木马，对网站的信誉都有严重的影响。 对于黑客，他们通过网站挂马，可以直接批量控制中马...

admin 12年前 (2013-09-21) 1519浏览 0评论

9 月 22 日，被誉为“中国黑帽子大会”的COG 2011 信息安全论坛在上海召开，中国黑客界近 350 人出席了本次论坛，众多国内安全界领袖共同公布了《黑客自律公约》。冰血封情现场回顾了 1996 年至 2011 年中国黑客重大事件。 COG 筹...

admin 12年前 (2013-09-21) 2106浏览 0评论

本文关注的是世界著名的黑客组织Anonymous（匿名者）。“我将描述他们的攻击方法和方式的计划,但我们将聚焦更多关于他们使用武器或工具。”Anonymous这个词仅仅意味着没有名字的匿名或身份，该组织是一个派系的匿名黑客或黑客活动分子。 他们有...

admin 12年前 (2013-09-21) 1641浏览 0评论

1、前言 1.1 什么是DOM XSS DOM-based XSS是一种基于文档对象模型（Document Object Model，DOM)的XSS漏洞。简单理解，DOM XSS就是出现在JavaScript代码中的漏洞。与普通XSS不同的是，DO...

admin 12年前 (2013-09-21) 2119浏览 0评论

点击劫持（ClickJacking）的小科普 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在 不知情 的情况下点击透明的iframe页面。通过调整iframe...

admin 12年前 (2013-09-20) 2367浏览 0评论

很多黑客在劫持DNS后往往会直接将域名重定向到主机定制的黑页上面，而没有进一步利用来获得目标网站的权限。在我之前的文章《浅析CDN安全》有简单的提到如何将DNS劫持进行放大攻击，但只是小提了下思路，本文章笔者Mars将具体讨论l两种DNS劫持放大攻击...

admin 12年前 (2013-09-17) 2006浏览 0评论

一、BT5下安装和注册Nessus  1、下载nessus。下载网址：http://www.nessus.org/products/nessus/nessus-download-agreement，在该网址中选择Agress后就会进入到下载界...

admin 12年前 (2013-09-17) 1612浏览 0评论

Peter Lee 2008-04-20   一、字节序 来自：http://ayazh.gjjblog.com/archives/1058846/ 谈到字节序的问题，必然牵涉到两大CPU派系。那就是Motorola的PowerPC系列CPU和Int...

admin 12年前 (2013-09-17) 5591浏览 0评论

目标站点：http://www.cppblog.net/ 一、确定管理员用户名 二、后台拿webshell 进入后台后可采用两种方法来获取webshell，一种是上传zip打包的插件，一种是修改模板的404.php页面。 1、进入后台。在本地将PHP...

admin 12年前 (2013-09-16) 3184浏览 0评论

FileZilla Server应该好多牛人都知道怎么提权的了吧,很简单的,我再啰嗦一次 管理员密码以及端口都是保存在FileZilla Server Interface.xml文件里的 FileZilla Server Interface.xml内...

admin 12年前 (2013-09-16) 2032浏览 0评论

腾讯互娱内部维护了一个MySQL分支，基于官方5.5.24，实现了类似于Oracle 11g的快速加字段功能，这个分支我们内部称为TMySQL。该功能通过扩展存储格式来实现，原理类似于Oracle 11g，以下介绍下其实现原理。 1. GCS行格式 ...

admin 12年前 (2013-09-16) 1716浏览 0评论

简要描述： 晚上在人人网随便转了转，随手测试了下，发现人人网某分站存在储存型xss，可以盲打后台管理，也可以盗取他人登录cookie（已经证明）。上传位置也有些问题，我做了初步检测，你们自己仔细查查吧，请别给个位数的rank额。 详细说明： 1 存在...

admin 12年前 (2013-09-16) 8849浏览 1评论

漏洞详情 披露状态：   2013-09-09： 细节已通知厂商并且等待厂商处理中 2013-09-14： 厂商已经主动忽略漏洞，细节向公众公开 简要描述： 一直觉得企业的邮箱系统是企业安全环节中一个很脆弱的点，哪怕是互联网公司也同样如此。...

admin 12年前 (2013-09-12) 2134浏览 0评论

一天，在源码站下载了一套《易天工作室通用企业型后台管理系统》源代码来读。check.asp页面中发现了一个问题，由于程序没有对输入内容进行过滤，我们可以输入万能密码登陆，直接进入后台。（难道这个就是传说的中企业后台漏洞？）   发 现了这...

admin 12年前 (2013-09-11) 6946浏览 0评论

In this article we are going to learn how to configure ProFTPD service in a CentOS machine. After that we will conduct penetr...