安基網 首頁 安全漏洞挖掘
訂閱

西甲雪缘园:漏洞挖掘

  • WordPress 5.1 CSRF to RCE 漏洞詳解

    WordPress 5.1 CSRF to RCE 漏洞詳解
    WordPress是使用PHP語言開發的博客平臺,用戶可以在支持PHP和MySQL數據庫的服務器上架設屬于自己的網站。也可以把 WordPress當作一個內容管理系統(CMS)來使用。前些日子,RIPS放了一個WordPress5.1的CSRF漏洞通過本文將對此次CSRF漏洞進行詳細分析,RCE相關的分析見后續分析文章預備知識在wordpress ...
    2020-4-1 17:04
  • 漏洞挖掘:從受限的上傳漏洞到儲存型XSS

    漏洞挖掘:從受限的上傳漏洞到儲存型XSS
    說到文件上傳漏洞,人們的第一印象通常是上傳木馬getshell。但是,在挖漏時很少碰到可以順利上傳木馬的點,一般都是卡在某一步,然后不了了之。在本文,作者分享了如何從受限的文件上傳漏洞轉化為儲存型XSS。上傳功能在做項目時,我非常喜歡通過Fuzz來研究目標的文件上傳點。 一般來說,文件上傳漏洞會 ...
    2020-3-7 15:44
  • 基于污點分析的XSS漏洞輔助挖掘的一種方式

    基于污點分析的XSS漏洞輔助挖掘的一種方式
    1. 序我在之前的一篇文章中簡單講解了Web應用代碼自動化審計的幾種實現方式。這篇文章以自動化輔助挖掘XSS漏洞漏洞為例,簡單的講解一個實際的灰盒分析實現的例子。在上文中有提到到,漏洞可以認為是輸入到危險函數的過程,所以這篇文章涉及到的主要是輸入、危險函數、具體實現這三個部分。2. 輸入作為 ...
    2020-3-7 15:44
  • 初探利用angr進行漏洞挖掘(上)

    初探利用angr進行漏洞挖掘(上)
    前言angr是一個基于python開發的一款符號執行工具,可以用于二進制分析,在CTF逆向中有很大的用途,例如可以通過約束求解找到復雜計算的正確解,從而拿到flag;然而angr的用途遠不止于此,它甚至還能被用于AEG (Automatic Exploit Generation) ,有一個叫zeratool的工具實現了一些用于簡單的pwn的AEG ...
    2020-3-7 15:43
  • 漏洞掃描工具Nessus指南

    漏洞掃描工具Nessus指南
    一、Nessus簡單介紹Nessus是全球使用人數最多的系統漏洞掃描與分析軟件,這是一個免費、威力強大、更新頻繁并簡易使用的遠端系統安全掃描程序,功能十分強大。二、Nessus安裝下載軟件包的時候一定要找一個網速很好并且穩定的地方,最好不要使用熱點,這是前人之鑒。(1):下載軟件包方法一 進入官網下載h ...
    2020-2-17 15:32
  • 「黑客技術」Msf提高程序運行權限級別提權

    「黑客技術」Msf提高程序運行權限級別提權
    提權大致也就3種方法1. 提高程序運行權限級別2. Uac繞過3. 提權漏洞我這里先用第一種來演示前提是msf已經獲取到了 一個sessionGetiud查看用戶 是用戶權限Getsystem報錯 看到是沒法提權的接下來 background退到后臺 u ...
    2020-2-11 15:23
  • 「安卓逆向」xx招聘app登陸協議實戰簡單分析

    「安卓逆向」xx招聘app登陸協議實戰簡單分析
    前言:今天老同學叫我幫他找哈工作,閑來無事我就打開了xx招聘,手癢的我就著手分析一波協議 工具:fidller、jadx、mmds、androidkiller、idaPS:沒有根據喝樣本的同學可以私聊我 1. 首先我們安裝apk到模擬器2. 打開fillder配置證書,這里就不細說了哈3.輸入賬號密碼截獲登陸請求4.抓包發現 登陸之前就 ...
    2020-1-27 20:02
  • 電腦網站破解,提取web漏洞

    電腦網站破解,提取web漏洞
    僅用于學習測試,違法自負!這里給大家分享幾點關于越權漏洞的發現方法,這類型漏洞通常發生在Web應用提供給用戶基于輸入的對象中,漏洞造成的影響將會致使攻擊者可以繞過授權限制,訪問到目標系統內其它不應該被訪問到的資源或數據。IDOR簡述簡單來說,假設目標網站有兩個用戶U1和U2,兩者賬戶中都存 ...
    2020-1-12 12:09
  • 談高效漏洞挖掘之Fuzzing的藝術

    談高效漏洞挖掘之Fuzzing的藝術
    搜索公眾號:暗網黑客教程可領全套安全課程、配套攻防靶場前言:漏洞挖掘和工作中的產品測試過程中除了白盒代碼審計之外比較偏向黑盒測試/漏洞挖掘,那么我覺得漏洞挖掘/黑盒測試過程中的遇到過的一些fuzz技術思想有必要借用我遇到過的實戰中的例子來歸納總結下,通過實例對fuzz的思想進行展開。一.登 ...
    2020-1-7 08:25
  • 常見的Web安全漏洞及測試方法

    常見的Web安全漏洞及測試方法
    各類web應用充斥在我們的網絡生活中,但是因為開發者安全意識不強而導致的安全問題同樣層出不窮,畢竟僅僅依靠個人編寫代碼總會有考慮不周全的時候。一旦這些WEB漏洞被黑客攻擊者利用,他可以輕易控制整個網站,并可進一步提權獲取網站服務器權限,控制整個服務器。e小安就總結了常見的web安全漏洞與測 ...
    2019-11-23 10:53
  • 網站漏洞測試與修復漏洞Laravel框架

    網站漏洞測試與修復漏洞Laravel框架
    Laravel框架是目前許多網站,APP運營者都在使用的一款開發框架,正因為使用的網站較多,許多攻擊者都在不停的對該網站進行漏洞測試,我們在對該套系統進行漏洞測試的時候,發現存在REC漏洞.主要是XSRF漏洞,下面我們來詳細的分析漏洞,以及如何利用,漏洞修復等三個方面進行全面的記錄.該Laravel REC漏洞的利用 ...
    2019-11-17 10:17
  • Apache-解析漏洞

    Apache-解析漏洞
    在Apache中,訪問:liuwx.php.360會從右往左識別后綴,存在解析漏洞的時候,會從右往左識別哪個能解析,360是不能被解析,然后往左識別到php就識別能解析,這就是Apache的解析漏洞漏洞復現環境Windows Server 2003_x64ApachePh ...
    2019-11-15 10:31
  • 網絡安全漏掃工具:Nessus pro 破解安裝及使用

    網絡安全漏掃工具:Nessus pro 破解安裝及使用
    前言:Nessus是最受歡迎的漏洞掃描程序之一。它最初是免費的,開源的,但是他們在2005年關閉了源代碼,并在2008年免除了“Registered Feed”免費版本。它現在每年花費2,190美元,仍然擊敗許多競爭對手。 免費 的“ Nessus Home ”版本也是可用的,雖然它是有限的,并且僅被授權用于家庭網絡使用。Nessu ...
    2019-11-13 08:53
  • Nessus是tenable推出的一款漏洞掃描與分析軟件

    Nessus是tenable推出的一款漏洞掃描與分析軟件
    引子:Nessus是著名信息安全服務公司tenable推出的一款漏洞掃描與分析軟件,號稱是"世界上最流行的漏洞掃描程序,全世界超過75,000個組織在使用它"。盡管這個掃描程序可以免費下載得到,但是要從Tenable更新到所有最新的威脅信息,每年的直接訂購費用是$1,200,也就是每個月100美刀。在Linux, FreeBS ...
    2019-9-17 09:27
  • 對電信wifi漏洞挖掘

    對電信wifi漏洞挖掘
    0x00前言:本人菜鳥,也是無意間的發現該漏洞,過程相當簡單,各位dalao勿噴我= =。前兩天跟宿友吵了起了,一個人慫了全宿舍其他人,然后只能默默的申請搬去其他棟宿舍樓住,跑來了學校外邊跟其他學長們一起住,搬過 ...
    2019-6-9 08:48
  • 12下一頁
    返回頂部
    {ganrao} ok竞彩比分直播 七乐彩怎么算中奖 广东十一选五分布走 西宁按摩师证去哪里考 番号搜索器下载安卓版 pk10计划 上下分棋牌游戏麻将 东京热图片20p 天津十一选五计划 3d预测专家直选推荐 浙江十一选五的走势 联众疯狂麻将外挂 2009nba掘金vs湖人6 内蒙古11选5时时彩 幸运pk10技巧 经典 宁夏十一选五任选走势图