web安全 第15页

2022-02-13hush阅读(153)赞(0)

前言：白帽子们一般都是从web端开始学习安全技术，但是我们并不满足于web端，自然而然地对APP端产生了浓厚的兴趣，本文将讲述如何在移动端进行渗透，并分享自己在对移动端渗透过程中常见的漏洞与一些案例的分析。 0x01环境搭建 首先下载一个模...

2022-02-10hush阅读(131)赞(0)

0x01 起因 朋友给某甲方做渗透测试，奈何甲方是某知名保险，系统太耐艹，半天不出货 兄弟喊我来一块来看，于是有了本文 0x02 客户端RCE一处 朋友把靶标发给我看了下，除了两个下载链接啥也没有 链接下载下来的东西如图，看了下目录里面还有...

2022-02-08hush阅读(133)赞(0)

http://ip/index.php?id=1 网站加载成功 http://ip/index.php?id=1' 出现错误信息： You have an error in your SQL syntax; check the manual...

2022-01-20hush阅读(135)赞(0)

利用UAF漏洞 UAF漏洞（Use-After-Free）是一种内存破坏漏洞，漏洞成因是一块堆内存被释放了之后又被使用。又被使用指的是：指针存在（悬垂指针被引用）。这个引用的结果是不可预测的，因为不知道会发生什么。由于大多数的堆内存其实都是...

2022-01-19hush阅读(146)赞(0)

PHP disable_functions disable_functions是php.ini中的一个设置选项。相当一个黑名单，可以用来设置PHP环境禁止使用某些函数，通常是网站管理员为了安全起见，用来禁用某些危险的命令执行函数等。 先来看...

2022-01-11hush阅读(144)赞(0)

一个批量漏洞挖掘工具，黏合各种好用的扫描器。 介绍 QingScan 是一款聚合扫描器，本身不生产安全扫描功能，但会作为一个安全扫描工具的搬运工；当添加一个目标后，QingScan会自动调用各种扫描器对目标进行扫描，并将扫描结果录入到Qin...

2022-01-07hush阅读(142)赞(0)

据2020年上半年中国互联网网络安全监测数据分析报告显示，恶意程序控制服务器、拒绝服务攻击（DDoS）等网络攻击行为有增无减。时至今日，网络攻击已经成为影响网络信息安全、业务信息安全的主要因素之一。 网络攻击是指利用网络存在的漏洞和安全缺陷...

2022-01-06hush阅读(133)赞(0)

《OWASP TOP10》的首要目的就是要指导开发人员、设计人员、架构师、管理人员和企业组织，让他们认识到最严重的WEB应用程序安全弱点所产生的后果，并且提供了防止这些高风险的基本方法。 A1注入 将不受信任的数据作为命令或者查询的一部分发...

2022-01-04hush阅读(168)赞(0)

一、注入前知识补充 sqlmap参数： –prefix,–suffix 在有些环境中，需要在注入的payload的前面或者后面加一些字符，来保证payload的正常执行。 例如，代码中是这样调用数据库的： $query = "SELECT ...

2022-01-03hush阅读(175)赞(0)

MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字...