自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

不忘初心,护天下安全!

孜孜不倦,奋斗不息!

  • 博客(12)
  • 资源 (22)
  • 收藏
  • 关注

原创 http请求走私(HTTP Request Smuggling)

目录东窗事发事故实例漏洞局限性技术攻坚检测请求走私形成检测工具漏洞利用请求存储攻击缓解措施东窗事发HTTP请求理论上是独立的实体,但利用http请求走私技术可以突破理论限制,远程攻击者在未经身份验证的情况下,轻松攻击目标网络基础设施。事故实例事故名称:Tomcat请求漏洞(Request Smuggling)CVE编码:CVE-2...

2019-10-13 13:14:24 13904 1

转载 WASC 漏洞分类

本文针对WASC给出的分类,根据测试经验,进行进一步分析,从检测角度进一步完善攻击类型。 WASC的漏洞分类相比OWASP来说,更加的具体,比如OWASP就是失效的认证会话管理,WASC分开说:Insufficient Authentication(身份认证不足)、Credential/SessionPrediction(会话凭证可预测) 、Session Fixation...

2019-10-11 14:17:44 1457

原创 CORS带来的隐患

跨域资源共享(CORS)跨域资源共享(cors)可以放宽浏览器的同源策略,可以通过浏览器让不同的网站和不同的服务器之间通信。1.同源策略同源策略在浏览器安全中是一种非常重要的概念,大量的客户端脚本支持同源策略,比如JavaScript。同源策略允许运行在页面的脚本可以无限制的访问同一个网站(同源)中其他脚本的任何方法和属性。当不同网站页面(非同源)的脚本试图去互相访问的时候,大多数的方法和...

2019-10-08 22:40:39 1197

原创 SQL注入

一、ORACLE执行Java代码参考https://www.cnblogs.com/rebeyond/p/7928887.htmlhttps://www.cnblogs.com/pshell/articles/7473713.html二、MySQLload_file() 文件读取函数outfile 写文件MOF/UDF提权general_log_file写文件三、SQL s...

2019-10-08 13:52:13 230

原创 SSI

SSISSI(Server Side Includes,服务器端包含)SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。1.1 启用SSI示例:N...

2019-10-08 13:37:43 1542

原创 Xpath注入

Xpath注入Xpath定义XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。Xpath注入攻击原理XPath注入攻击主...

2019-10-08 13:31:56 216

原创 模版注入

模版注入简介模板引擎用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化,以生成网页、电子邮件等。模板引擎通过使用代码构造(如条件语句、循环等)处理上下文数据,允许在模板中使用强大的语言表达式,以呈现动态内容。如果攻击者能够控制要呈现的模板,则他们将能够注入可暴露上下文数据,甚至在服务器上运行任意命令的表达式。测试方法确定使用的引擎查看引擎相关的文档,确定其安全机制以...

2019-10-08 09:27:12 2159

原创 拒绝服务攻击

拒绝服务攻击简介DoS(Denial of Service)指拒绝服务,是一种常用来使服务器或网络瘫痪的网络攻击手段。在平时更多提到的是分布式拒绝服务(DDoS,Distributed Denial of Service) 攻击,该攻击是指利用足够数量的傀儡计算机产生数量巨大的攻击数据包,对网络上的一台或多台目标实施DoS攻击,从而耗尽受害目标的资源,迫使目标失去提供正常服务的能力。UDP...

2019-10-07 20:34:07 3086

原创 CSRF详解

前言忽然发现,一直没有好好写一下csrf,所以在这里对其进行总结。What's CSRF?CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过...

2019-10-07 11:08:41 3226

原创 图片XSS

参见:https://woj.app/1785.html

2019-10-07 10:53:44 1177

原创 XSS Payload

Payload常用<script>alert(/xss/)</script><svg onload=alert(document.domain)><img src=document.domain onerror=alert(document.domain)><M onmouseover=alert(document.domain)&...

2019-10-07 10:48:40 1046

原创 PDF XSS

漏洞学习:https://www.cnblogs.com/xiaozi/p/9951622.html原理:可在PDF中插入JS脚本,并在浏览器中解析运行。工具:迅捷PDF编辑器下载地址:https://pan.baidu.com/s/1qZqTW-r0XUbyH2ovPlhtGw利用方式:http://blog.nsfocus.net/pdf-vul/...

2019-10-07 10:35:24 710

信息安全风险评估标准GB20984

信息安全风险评估标准GB20984

2019-01-27

qt-sdk-linux-x86-opensource-2010.05.1

qt-sdk-linux-x86-opensource-2010.05.1

2018-12-17

干净的数据——数据清洗与入门(内附图书)

这是由中国工信出版社集团、人民邮电出版社联合出版的由美国的MeGan Squire著作任政委翻译的《干净的数据 数据清洗入门与实践》,这是关于数据清洗的知名书籍,个人也是怀着敬仰之心细读全书,获益匪浅,分享给大家。

2018-07-04

弱口令及对应md5值字典

弱口令及对应md5值字典

2018-12-06

Windows下GNS3的安装

Windows下GNS3的安装

2018-11-28

nessus必备插件.zip

Nesuus 必备插件

2020-02-13

攻击JavaWeb应用1-9[JavaWeb安全系列]

该文档是java代码审计的非常有名的参考资料,大家有好好学习哟 该文档是java代码审计的非常有名的参考资料,大家有好好学习哟 该文档是java代码审计的非常有名的参考资料,大家有好好学习哟 该文档是java代码审计的非常有名的参考资料,大家有好好学习哟 该文档是java代码审计的非常有名的参考资料,大家有好好学习哟

2020-05-19

cobaltctrike3.13-cracked.zip

CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源

2020-02-10

啊D——SQL注入工具

啊D注入工具

2018-12-01

未来汇编、轻松汇编汇编语言代码运行工具

未来汇编、轻松汇编汇编语言代码运行工具,亲测可用。

2018-12-21

有向图中简单路径计数及最短路径最长路径的输出

可进行有向图的创建,所有简单路径的遍历,并找出其中的最短路径和最长路径。

2018-11-16

jpcap压缩包

Jpcap实际上并非一个真正去实现对数据链路层的控制,而是一个中间件,JPCAP调用wincap/libpcap,而给JAVA语言提供一个公共的接口,从而实现了平台无关性。Java的.net包中,给出了传输层协议 TCP和UDP有关的API,用户只能操作传输层数据,要想直接操作网络层{比如自己写传输层数据报(自己写传输层包头),或者自己写好IP数据包向网络中发}则是无能为力的。 而JPCAP扩展包弥补了这一点,使我们可以支持从网卡中接收IP数据包,或者向网卡中发送IP数据包。

2018-11-21

Debookee Mac下arp欺骗工具

Mac下的arp欺骗攻击工具,debookee无病毒很好用,欢迎下载哟

2018-11-18

恶意代码分析实战

恶意代码分析实战 .pdf

2018-12-06

动态打印B-树代码

动态打印数据结构中的B-树,可实现其插入、创建、删除和查找。

2018-11-16

弱口令字典

弱口令字典,很全很强大,如果需要弱口令的散列值,请关注本人的其他资源。谢谢。

2018-12-06

GPG4Win-3.1.0

超级好用的公开加密的加密解密工具。GPG4Win-3.1.0

2018-12-12

WEKA入门用的银行数据集bank-data.arff

WEKA入门用的银行数据集bank-data.arff

2019-02-18

动态打印平衡二叉树

巧妙的设计,二叉平衡树或二叉搜索树的打印,可实现其初始化、插入、删除、查找和平衡化,并有较好的健壮性和友好性。

2018-11-16

smali2java

将不熟悉的snali代码转换为hava代码,极大地方便安卓逆向人员对代码的阅读。

2019-04-08

易优md5字典生成器

易优md5字典生成器

2018-12-06

drizzleDumper.zip

drizzleDumperdrizzleDumper

2020-02-03

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除