web安全

“围观”一个有趣的钓鱼样本

网络钓鱼可以说是一个老生常谈的话题了,但时至今日它仍受到许多攻击者的欢迎。比如一封邮件,一个附件,一个链接地址,再配上一段美丽陷阱的谎言。这看似老套,却让受害目标一次又一...

web安全 |caiji阅读(6) 标签:

Burpsuit结合SQLMapAPI产生的批量注入插件

前言
前辈们的功劳是无限大的。
PHP是世界上最好用的语言,没有之一。
出发点
一个网站是由多个开发人员协同工作完成的,他们遵循一定的命名规范(模块+动词+名称)等。在对一个网...

web安全 |caiji阅读(20) 标签:

记某次从控件漏洞挖掘到成功利用

之前对某ActiveX控件进行漏洞挖掘的时候发现了一个栈溢出漏洞,最近一时兴起写下了这篇针对该漏洞的从挖掘到成功利用的分享文章。如题,本文将从漏洞挖掘和漏洞利用两个方面进...

web安全 |caiji阅读(26) 标签:

WebLogic反序列化漏洞(CVE

漏洞简介
2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的...

web安全 |caiji阅读(10) 标签:

安全科普:浅谈弱口令的危害

 * 作者:千里目安全实验室

故事要从一次艰难的渗透测试说起(以下案例均为授权测试),实践证明,要想进行一次完美的渗透,网站漏洞跟弱口令更配!


 * 作者:千里目安全实验室,本文属F...

web安全 |caiji阅读(15) 标签:

基于JXWAF快速搭建钓鱼网站

一、前言
前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。
PS:本文仅用于技术讨论及分享,严禁用于非法用...

web安全 |caiji阅读(12) 标签:

实现一个简单的Burp验证码本地识别插件

* 本文作者:releasel0ck,本文属FreeBuf原创奖励计划,未经许可禁止转载
0X00:前言
为什么要写一个这个东西呢?虽然现在好多大网站都不用图片验证码了,但是仍然有一部分陈旧的web系...

web安全 |caiji阅读(63) 标签:

ESP技巧:教你如何解包可执行文件

恶意软件开发者会使用各种方法绕过反病毒产品,他们可以对字符串进行混淆处理,或者使用其他软件的证书来对恶意软件进行签名。其中最常用的一种方法就是利用封装器来对恶意软...

web安全 |caiji阅读(23) 标签:

浅析加密DNS(附子域名爆破工具)

本文章简单介绍一下两种加密DNS协议:DNS over HTTPS 和 DNS over TLS。这两种协议主要为了解决DNS带来的隐私和中间人篡改问题。
0×01 DNS的安全及隐私
DNS设计之初并没有考...

web安全 |caiji阅读(11) 标签:

Codiad在线IDE框架漏洞挖掘

简介 :
Codiad 是一个开源基于Web的IDE应用程序,用于在线编写和编辑代码。
仓库 :
https://github.com/Codiad/Codiad
环境搭建 :
通过phpstudy搭建基础,并开启Xdebug 。
可参...

web安全 |caiji阅读(15) 标签:

用零宽度字符水印揭露泄密者身份

零宽度字符是隐藏不显示的,也是不可打印的,也就是说这种字符用大多数程序或编辑器是看不到的。最常见的是零宽度空格,它是Unicode字符空格,就像如果在两个字母间加一个零宽度空...

web安全 |caiji阅读(10) 标签: