资讯

未获取权限下的任意文件读取

*本文作者:freebuf01,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
0×01概述:
在项目实施过程中,任意文件读取漏洞虽说不多,但也能不定期的发现一个。于是在这把自己了解的,做...

web安全 |caiji阅读(0) 标签:

ThinkPHP 框架SQL注入技术分析

4月12号,ThinkPHP官方团队发布“ThinkPHP5.0.17&5.1.9版本发布——包含安全更新”通知,提醒用户第一时间更 新框架版本,在这次更新中,包含了由360企业安全集团代码卫士团队报送...

web安全 |caiji阅读(1) 标签:

内存取证:查找Metasploit的Meterpreter踪迹

Metasploit是一个非常受欢迎的渗透测试框架,被视为安全测试人员手中的一把利器。但在另一方面由于他过于强大,因此也常常被一些恶意攻击者所利用。当然,在本文我们主要讨论的是...

web安全 |caiji阅读(1) 标签:

谨防隐私泄露,一个链接就能了解你的一切

* 本文作者:CarlStar,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00 前言
某日表哥丢过来一个链接,说可以查到手机号或者邮箱号下面注册过的账号,于是有了下面的分析。由于...

web安全 |caiji阅读(1) 标签:

记一次渗透测试过程中的Zabbix命令执行利用

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。管理员在安装配置Zabbix过程中,使用了弱口令或默认的用户名与口令(Admin/zabbix),这样,Z...

web安全 |caiji阅读(1) 标签:

Pam

谈及到双因子认证或多因子认证时,解决方案有很多,可能会想到短信验证码、RSA动态令牌、Google Authenticator或者Duo,在国内由于某些限制的原因,Google Authenticator和Duo的应...

web安全 |caiji阅读(1) 标签:

记一次网站测试引发的注入“血案”

最近收到boss指令,对某网站进行安全评估测试,当然目前网站漏洞还是存在的,写一些工作记录,希望大佬踊跃发言指导。
第一步:
首先是看看我们的网站地址吧,域名:http://www.XXXX.com....

web安全 |caiji阅读(1) 标签:

从PNG tEXt到存储型XSS

最近在对某客户的站点做测试时我遇到了一些麻烦。在对许多上传点测试后我发现这些上传点都有着非常严格的文件过滤机制只接受扩展名为.PNG的文件。但就在我一筹莫展时我...

web安全 |caiji阅读(1) 标签:

某搜索引擎Self

*本文原创作者:nancce,本文属FreeBuf原创奖励计划,未经许可禁止转载

在AI横飞的今天,网站页面不挂个聊天机器人都会觉得low,笔者在某搜索引擎的页面上就发现了这样一个聊天AI,无...

web安全 |caiji阅读(1) 标签:

如何用ESP8266制作密码获取测试WIFI神器

我自己也是刚开始玩,如有不对的地方还请大神们多多指教。

一、esp8266模块

首先,你要有一块esp8266模块,像这样的,最好是有底板的,带Micro口的,这些淘宝上都可以搜到的,我的就是...

无线安全 |caiji阅读(1) 标签:

保护你移动支付应用的10个技巧

如果你看过了这些统计数据,你就不可否认如今电子商务行业发展的迅猛势头。越来越多的人正在网上购物,而不再仅仅面向的是互联网产品和服务,包括以前只能在实体店才能购买到...

无线安全 |caiji阅读(1) 标签:

钓鱼网站擒拿小记

2018.04.08 晚 19:18

又是一个寂静无人的夜晚,本通正在被Boss苦逼压榨自己的剩余劳动价值的时候,突然公司老铁在群里发了一条微信。点进去是一条新闻,大概述说了男主人公(以下...

web安全 |caiji阅读(1) 标签: