歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • 貼一個ant腳本的方法
  • 用ant的目的就是編譯,打包(jar包),自動生成幫助文檔等。用ant首先要下載ant的安裝包,完了系統的環境變量里面添加ant_home參數,path里添加ant/bin目錄。如果是在eclipse里用的話就不需要了,只要工程目錄下編輯一......
  • 所屬分類:腳本安全 更新時間:2016-09-06 相關標簽: 閱讀全文...
  • SQL注入繞過技巧匯總
  • SQL注入的繞過技巧有很多,具體的繞過技巧需要看具體的環境,而且很多的繞過方法需要有一個實際的環境,最好是你在滲透測試的過程中遇到的環境,否則如果僅僅是自己憑空想,那顯然是不靠譜的。這篇文章就是總結我在......
  • 所屬分類:腳本安全 更新時間:2016-09-05 相關標簽: 閱讀全文...
  • 記一次SQL注入實戰
  • 剛發現漏洞時,我就已經成功實現了注入,因為怕發到網上后被玩壞,一直沒有發布。今天去看了看,原網頁已經無法訪問了,現在發出來應該就沒有什么大問題了。 本文僅供學習交流,目的是為了構建更加安全的網絡環......
  • 所屬分類:腳本安全 更新時間:2016-09-05 相關標簽: 閱讀全文...
  • XSS蠕蟲的構造
  • XSS攻擊最大的危害在于可能在一個系統中的用戶間互相感染,以致整個系統的用戶淪陷。能夠造成這種危害的腳本我們稱之為XSS蠕蟲。 第一部分 XSS攻擊最大的危害在于可能在一個系統中的用戶間互相感染,以致整個系......
  • 所屬分類:腳本安全 更新時間:2016-09-04 相關標簽: 閱讀全文...
  • 不常見的xss利用探索
  • 反射型xss,相對于持久型xss來說比較雞肋;需要欺騙用戶點擊構造好的鏈接,達到竊取cookie,或是進一步CSRF劫持用戶操作的目的。若是get型的xss,javascript代碼直接在url中,雖然有些怪異,也好歹能用,愿者上鉤。但......
  • 所屬分類:腳本安全 更新時間:2016-09-02 相關標簽: 閱讀全文...
  • 滲透攻防Web篇-SQL注入攻擊高級
  • 前言 前面我們學習了如何尋找,確認,利用SQL注入漏洞的技術,本篇文章我將介紹一些更高級的技術,避開過濾,繞開防御。有攻必有防,當然還要來探討一下SQL注入防御技巧。 目錄 第五節 避開過濾方法總結......
  • 所屬分類:腳本安全 更新時間:2016-09-02 相關標簽: 閱讀全文...
  • D-Link NAS, DNS 系列:通過非認證SMB實現存儲型XSS
  • 1.前言 D-Link DNS-320是一款NAS網絡存儲器(http://www.dlink.com/uk/en/support/product/dns-320-2-bay-sharecenter-network-storage-enclosure). 該設備允許用戶通過SMB(服務器信息塊)訪問存儲數據,并且可以通......
  • 所屬分類:腳本安全 更新時間:2016-08-31 相關標簽: 閱讀全文...
  • burpsuit實現web登錄暴力破解 之 intruder 實例講解
  • 什么是burpsuit? Burp Suite 是用于攻擊web 應用程序的集成平臺。它包含了許多工具,并為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息,持久性,認證,代理......
  • 所屬分類:腳本安全 更新時間:2016-08-24 相關標簽: 閱讀全文...
  • 扒一扒sqlmap中tamper目錄中的waf繞過腳本們
  • 1.工具簡介 sqlmap是一個自動化的SQL注入工具,其主要功能是掃描,發現并利用給定的URL的SQL注入漏洞,目前支持的數據庫是MS- SQL,,MYSQL,ORACLE和POSTGRESQL。sqlmap中有一個tamper目錄,主要存放的是waf繞過腳本,......
  • 所屬分類:腳本安全 更新時間:2016-08-24 相關標簽: 閱讀全文...
  • 深入分析:JavaScript如何防范http劫持與XSS攻擊
  • 作為前端,一直以來都知道HTTP劫持與XSS跨站腳本(Cross-site scripting)、CSRF跨站請求偽造(Cross-site request forgery)。但是一直都沒有深入研究過,前些日子同事的分享會偶然提及,我也對這一塊很感興趣,便深入......
  • 所屬分類:腳本安全 更新時間:2016-08-24 相關標簽: 閱讀全文...
  • XSS漏洞學習筆記
  • 瀏覽器安全 同源策略 影響源的因素:host,子域名,端口,協議 a.com通過以下代碼: <script scr=http://b.com/b.js> 加載了b.com上的b.js,但是b.js是運行在a.com頁面中的,因此相對于當前打開的頁面(a.c......
  • 所屬分類:腳本安全 更新時間:2016-08-24 相關標簽: 閱讀全文...
  • 淺談WAF下的SQL注入繞過
  • 0x00 幾個月前在一個SRC的一個奪旗賽看了一下,題目里遇到了他們用自己的云waf保護起來的靶機,不禁心里為出題人鼓掌。直接對靶機奉上繞過策略當然有點蠢萌,不過作為探索研究決定繼續往下看了看,當時運氣不錯,一......
  • 所屬分類:腳本安全 更新時間:2016-08-24 相關標簽: 閱讀全文...
  • 雜談如何繞過WAF(Web應用防火墻)
  • 0×01 前言: 這個議題呢,主要是教大家一個思路,而不是把現成準備好的代碼放給大家。 可能在大家眼中WAF(Web應用防火墻)就是“不要臉”的代名詞。如果沒有他,我們的“世界”可能會更加美好。但是事與愿......
  • 所屬分類:腳本安全 更新時間:2016-08-22 相關標簽: 閱讀全文...
  • 使用過濾器解決SQL注入和跨站點腳本編制
  • 1 SQL注入、盲注 1.1 SQL注入、盲注概述 Web 應用程序通常在后端使用數據庫,以與企業數據倉庫交互。查詢數據庫事實上的標準語言是 SQL(各大數據庫供應商都有自己的不同版本)。Web 應用程序通常會獲取用戶輸入......
  • 所屬分類:腳本安全 更新時間:2016-08-19 相關標簽: 閱讀全文...
  • 從二進制漏洞分析入門到輔助分析腳本誕生
  • (一)寫在前面 從接觸二進制漏洞以來一直在邊學邊思考,有沒有一些共通的地方,可以通過一些簡單的腳本或者工具來簡化一些過程,不得不承認二進制漏洞無論在挖掘,分析,還是最后寫exp上都是有一定難度的,經過不斷......
  • 所屬分類:腳本安全 更新時間:2016-08-16 相關標簽: 閱讀全文...
  • SQL Injection繞過技巧
  • 0x00 sql注入的原因 sql注入的原因,表面上說是因為 拼接字符串,構成sql語句,沒有使用 sql語句預編譯,綁定變量。 但是更深層次的原因是,將用戶輸入的字符串,當成了 “sql語句” 來執行。 比如上面的 Strin......
  • 所屬分類:腳本安全 更新時間:2016-08-16 相關標簽: 閱讀全文...
  • 結合代碼對xss基礎的學習
  • 前言:有人曾經說過,XSS之所以那么流行,就是因為每個網站,包括Google、Microsoft等,都會存在XSS漏洞!之前對XSS這塊“肥肉”只是了解,沒有系統的學習一下。趁著暑假賦閑,來系統的剖析一下這塊‘肥肉’。 0x0......
  • 所屬分類:腳本安全 更新時間:2016-08-14 相關標簽: 閱讀全文...
  • Backdoor CTF 2013: Web 300
  • 0x00 題目 H4x0r的網站系統需要積分才人們通過,為你賬號獲得 積分 從而獲取flag,你可以審計一波網站系統 源代碼 。 提示:管理員有一堆積分,就看你能不能用了。 0x01 解題 下載源代碼,頁面不是很多,簡單從......
  • 所屬分類:腳本安全 更新時間:2016-08-14 相關標簽: 閱讀全文...
  • 一樁由sqlmap引發的血案
  • sqlmap是一個開源的自動化滲透測試工具,被廣泛用于發現SQL注入漏洞。sqlmap的使用幾乎毫無技術含量。不過,對于一個殺手來說,他使用的刀只需要保證在任何情況下可靠還有一擊斃命即可,至于刀上是否有繁復的裝......
  • 所屬分類:腳本安全 更新時間:2016-08-09 相關標簽: 閱讀全文...
  • 從利用角度詳解手工SQL注入
  • 如何判斷是否存在SQL注入 id=-1 or 1=1 本應沒結果但實際有結果 id=1 and 1=2 本應該有結果但實際沒結果。 id=1/ABC/ 猜字段數 SELECT * FROM table_name WHERE id=545/*abc*/or/*dasd*/1......
  • 所屬分類:腳本安全 更新時間:2016-08-09 相關標簽: 閱讀全文...
  • Xen攻擊第三篇:XSA-182--逃逸Qubes
  • Xen作現代虛擬化平臺的一個重要代表,它的安全性值得全世界黑客的關注。這是Xen攻擊系列關于Xen安全的最后一篇[1][2]。本文講述通過我們自己發現的漏洞(XSA-182)[0](CVE-2016-6258)轉而在 Qubes 系統項目中實現攻擊利......
  • 所屬分類:腳本安全 更新時間:2016-08-08 相關標簽: 閱讀全文...
  • 滲透小知識之XSS攻擊利用
  • XSS漏洞可出現的點非常多,肉眼看的到的輸入,肉眼看不見(例如Flash XSS,某些抓包才看得到的接口)的輸入都可能成為XSS漏洞的一個點切入進去,變成一個漏洞,每個點又能展開分為不同的方式去實現、繞過它,這讓XSS漏......
  • 所屬分類:腳本安全 更新時間:2016-08-05 相關標簽: 閱讀全文...
  • 前端防御XSS及XSS報警機制
  • 我不否認前端在處理XSS的時候沒有后端那樣方便快捷,但是很多人都在說過濾XSS的事就交給后端來做吧。前端做沒什么用。我個人是非常反感這句話的。雖然說前端防御XSS比較麻煩,但是,不是一定不行。他只是寫的代碼比后端......
  • 所屬分類:腳本安全 更新時間:2016-08-05 相關標簽: 閱讀全文...
  • VBS判斷本地賬戶密碼過期郵件提醒
  • 近期公司在外網發布的一個文件服務器(FTP)被受攻擊,上面的文件全部被修改無法正常使用,然后最主要的是里面放了一個說明,說如果需要解開文件使用的話,需要給一個賬戶支付解密費用,但是最終我們還是沒有按照提示的......
  • 所屬分類:腳本安全 更新時間:2016-08-04 相關標簽: 閱讀全文...
  • XSS 前端防火墻 —— 內聯事件攔截
  • 關于 XSS 怎樣形成、如何注入、能做什么、如何防范,前人已有無數的探討,這里就不再累述了。 幾乎每篇談論 XSS 的文章,結尾多少都會提到如何防止,然而大多萬變不離其宗。要轉義什么,要過濾什么,不要忘了什么之......
  • 所屬分類:腳本安全 更新時間:2016-08-02 相關標簽: 閱讀全文...
  • Xen攻擊第一篇:XSA-105--從nobody到root
  • 本文介紹 Xen-105[1]CVE-2014-7155)的利用,介紹并演示在 Linux 4.4.5 上的完整利用開發。 Xen作現代虛擬化平臺的一個重要代表,它的安全性值得全世界黑客的關注。本文將在已經披露的編號為XSA-105(CVE-2014-7155)的X......
  • 所屬分類:腳本安全 更新時間:2016-08-02 相關標簽: 閱讀全文...
  • Xen攻擊第二篇:XSA-148--從guest到host
  • Xen作現代虛擬化平臺的一個重要代表,它的安全性值得全世界黑客的關注。本文將繼續介紹 XSA-148[1]的利用,漏洞編號CVE-2015-7835,由阿里巴巴的欒尚聰發現并于2015年10月公開披露。今年年初,漏洞發現者作了一次分享[6]......
  • 所屬分類:腳本安全 更新時間:2016-08-02 相關標簽: 閱讀全文...
  • Xss代碼收集【限時下載】
  • 反正是我自己收集整理的,看得明白,你就用!看不明白,你別下載,  下載地址:  http://118.192.2.57:803/xss.rar ...
  • 所屬分類:腳本安全 更新時間:2016-07-28 相關標簽: 閱讀全文...
  • 看見CSRF我不怕不怕了
  • 最近新接手一個項目,第一個任務就是解決安全檢查發現的問題,其中一個棘手的是CSRF處理。CSRF之前只是聽過,了解過一些皮毛,卻未實際處理過。使用Django時,要么直接繞過,去掉中間件不用,要么就是加@csrf_exemp......
  • 所屬分類:腳本安全 更新時間:2016-07-23 相關標簽: 閱讀全文...
  • XSS漏洞實例利用
  • 環境: window 7 64位一臺 火狐瀏覽器就位 外網云服務器一枚(我自己買的...) 可XSS網站一匹 獲取Cookie的JS代碼一套 好了,以上就是需要準備的東西,沒有的外網云服務器(外網IP)的可以百度一下XSS......
  • 所屬分類:腳本安全 更新時間:2016-07-23 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        云南快乐十分前三电视