不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

web安全

突破disable_functions限制执行命令·上-seo优化_前端开发_渗透技术

突破disable_functions限制执行命令·上

hush阅读(2)赞(0)

PHP disable_functions disable_functions是php.ini中的一个设置选项。相当一个黑名单,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。 先来看...

QingScan - 新生代批量漏洞挖掘工具-seo优化_前端开发_渗透技术

QingScan - 新生代批量漏洞挖掘工具

hush阅读(9)赞(0)

一个批量漏洞挖掘工具,黏合各种好用的扫描器。 介绍 QingScan 是一款聚合扫描器,本身不生产安全扫描功能,但会作为一个安全扫描工具的搬运工;当添加一个目标后,QingScan会自动调用各种扫描器对目标进行扫描,并将扫描结果录入到Qin...

TCP/IP协议竟然有这么多漏洞?-seo优化_前端开发_渗透技术

TCP/IP协议竟然有这么多漏洞?

hush阅读(13)赞(0)

据2020年上半年中国互联网网络安全监测数据分析报告显示,恶意程序控制服务器、拒绝服务攻击(DDoS)等网络攻击行为有增无减。时至今日,网络攻击已经成为影响网络信息安全、业务信息安全的主要因素之一。 网络攻击是指利用网络存在的漏洞和安全缺陷...

OWASP十大WEB弱点防护守则-seo优化_前端开发_渗透技术

OWASP十大WEB弱点防护守则

hush阅读(14)赞(0)

《OWASP TOP10》的首要目的就是要指导开发人员、设计人员、架构师、管理人员和企业组织,让他们认识到最严重的WEB应用程序安全弱点所产生的后果,并且提供了防止这些高风险的基本方法。 A1注入 将不受信任的数据作为命令或者查询的一部分发...

sqlmap不为人知的骚操作-seo优化_前端开发_渗透技术

sqlmap不为人知的骚操作

hush阅读(15)赞(0)

一、注入前知识补充 sqlmap参数: –prefix,–suffix 在有些环境中,需要在注入的payload的前面或者后面加一些字符,来保证payload的正常执行。 例如,代码中是这样调用数据库的: $query = "SELECT ...

Bypass云锁MySQL注入总结-seo优化_前端开发_渗透技术

Bypass云锁MySQL注入总结

hush阅读(18)赞(0)

MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字...

渗透测试之目标分析与指纹识别总结-seo优化_前端开发_渗透技术

渗透测试之目标分析与指纹识别总结

hush阅读(20)赞(0)

建站形式分析 分目录站点 •形如: www.xxx.com  www.xxx.com/bbs www.xxx.com/old•渗透思路:网站可能有多个cms或框架组成,那么对于渗透而言,相当于渗透目标是多个(一个cms一个思路) 分端口站点...

全流程信息收集方法总结-seo优化_前端开发_渗透技术

全流程信息收集方法总结

hush阅读(20)赞(0)

信息收集 信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们渗透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的...

BypassD盾之SQL注入绕过总结-seo优化_前端开发_渗透技术

BypassD盾之SQL注入绕过总结

hush阅读(23)赞(0)

SQLServer特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,db_name()④from⑤admin 位置① 可以利用...

二十八种未授权访问漏洞合集-seo优化_前端开发_渗透技术

二十八种未授权访问漏洞合集

hush阅读(28)赞(0)

这篇文章主要收集一些常见的未授权访问漏洞。未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 未授权漏洞预览 Active MQ...