资讯

从插件入手:挖掘流行框架的“后入式BUG”

遇WordPress头大?让我们从插件入手!
当任务目标是一个wordpress站点的时候,是否让你感到过头大?wpscan扫了半天,却没有任何有利用价值的bug,这时候就拍拍屁股走人了?
流行框架一般...

web安全 |caiji阅读(14) 标签:

某行小程序投标测试的思路和坑

*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。

先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇...

web安全 |caiji阅读(8) 标签:

Metinfo6.0.0

*本文作者:Mochazz,本文属于FreeBuf原创奖励计划,未经许可禁止转载
大家好,我是红日安全-七月火,这篇文章是以往挖掘的Metinfo漏洞,鉴于官方已修复,遂将分析文章放出。
前言
这个前...

web安全 |caiji阅读(9) 标签:

恶性木马下载器“幽虫”分析

前言
2018年下半年开始,360互联网安全中心监控到一批恶性木马下载器一直在更新传播,初步统计,中招机器超过40万台。
该木马团伙通过伪造、冒用签名的方式试图逃避安全软件检测,...

web安全 |caiji阅读(13) 标签:

构造优质上传漏洞Fuzz字典

*本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载

上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。比如有:大小写混合,.hta...

web安全 |caiji阅读(8) 标签:

一次编码WebShell bypass D盾的分析尝试

*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
webshell是获得网站的控制权后方便进行之后的入侵行为的重要工具,一个好的webshell应该具备较好的隐...

web安全 |caiji阅读(11) 标签:

从MySQL出发的反击之路

某天看到 lightless 师傅的文章 Read MySQL Client’s File,觉得这个「漏洞」真的非常神奇,小小研究了一下具体的利用。
0×00 漏洞原理
几篇参考文章已经将原理...

web安全 |caiji阅读(15) 标签:

PHP代码审计实战思路浅析

*本文原创作者:wnltc0,本文属FreeBuf原创奖励计划,未经许可禁止转载
战略性的思考而非战术
对于面向过程写法的程序来说,最快的审计方法可能时直接丢seay审计系统里,但对于基于mv...

web安全 |caiji阅读(5) 标签:

一种新型的Web缓存欺骗攻击技术

为了减少WEB响应时延并减小WEB服务器负担,现在WEB缓存技术已经用的非常普遍了,除了专门的CDN,负载均衡以及反向代理现在也会缓存一部分的网页内容。这里我要介绍一种WEB缓存欺...

web安全 |caiji阅读(10) 标签:

记一次对WebScan的Bypass

*本文作者:GGyao6,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
PS:此网站漏洞已被处理,本文内容仅供技术交流,严禁用于非法用途。

前言
今天测试了一个网站,发现存在...

web安全 |caiji阅读(9) 标签:

Safari信息泄露漏洞分析

前言
Javascript中的数组和数组对象一直都是编程人员优化的主要目标,一般来说,数组只会包含一些基本类型数据,比如说32位整数或字符等等。因此,每个引擎都会对这些对象进行某...

web安全 |caiji阅读(6) 标签: