web安全

Pam

谈及到双因子认证或多因子认证时,解决方案有很多,可能会想到短信验证码、RSA动态令牌、Google Authenticator或者Duo,在国内由于某些限制的原因,Google Authenticator和Duo的应...

web安全 |caiji阅读(14) 标签:

记一次网站测试引发的注入“血案”

最近收到boss指令,对某网站进行安全评估测试,当然目前网站漏洞还是存在的,写一些工作记录,希望大佬踊跃发言指导。
第一步:
首先是看看我们的网站地址吧,域名:http://www.XXXX.com....

web安全 |caiji阅读(9) 标签:

从PNG tEXt到存储型XSS

最近在对某客户的站点做测试时我遇到了一些麻烦。在对许多上传点测试后我发现这些上传点都有着非常严格的文件过滤机制只接受扩展名为.PNG的文件。但就在我一筹莫展时我...

web安全 |caiji阅读(15) 标签:

某搜索引擎Self

*本文原创作者:nancce,本文属FreeBuf原创奖励计划,未经许可禁止转载

在AI横飞的今天,网站页面不挂个聊天机器人都会觉得low,笔者在某搜索引擎的页面上就发现了这样一个聊天AI,无...

web安全 |caiji阅读(11) 标签:

钓鱼网站擒拿小记

2018.04.08 晚 19:18

又是一个寂静无人的夜晚,本通正在被Boss苦逼压榨自己的剩余劳动价值的时候,突然公司老铁在群里发了一条微信。点进去是一条新闻,大概述说了男主人公(以下...

web安全 |caiji阅读(11) 标签:

对一款不到2KB大小的JavaScript后门的深入分析

在一台被入侵的服务器上,我们发现了一个攻击者遗留下来的脚本。该脚本是由JavaScript编写的,主要功能是作为Windows后门及C&C后端使用。在这里我首先要向大家说声抱歉,为了保护...

web安全 |caiji阅读(10) 标签:

有趣的闪存:通过实践分析意外内存泄漏

写在前面的话
在这篇文章中,我们将对闪存进行分析。我的实验目标是一台别人“捐赠”过来的Netcomm N300路由器,在进行了深入研究之后,我可以通过修改设备闪存的读入操作并从...

web安全 |caiji阅读(13) 标签:

通过F5 BIG

早前有技术社区发布了文章《解码F5负载均衡产品持久性Cookie探测内网IP》,其中讲解了通过解码F5 BIG-IP LTM的Cookie来发现目标服务器真实内网IP。简单来说就是,F5负载均衡产...

web安全 |caiji阅读(10) 标签:

由Three Hit聊聊二次注入

之前参加“强网杯”,学到了不少姿势,其中的web题three hit印象深刻,考的是二次注入的问题,这里对二次注入尝试做一个小结。
0×01什么是二次注入?
所谓二次注入是指已存储(数据库...

web安全 |caiji阅读(8) 标签:

DELPHI黑客编程(二):反弹后门原理实现

*本文原创作者:5ecurity,本文属FreeBuf原创奖励计划,未经许可禁止转载
PS:本文仅作为技术讨论分享,严禁用于任何非法用途。

前言

上一节主要是通过DELPHI实现了一个正向连接的...

web安全 |caiji阅读(5) 标签:

最通俗易懂的PHP反序列化原理分析

* 本文作者:你会忘了我,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×01写在前面
PHP反序列化漏洞虽然利用的条件比较苛刻,但是如果可以利用一般都会产生很严重的后果。在春...

web安全 |caiji阅读(11) 标签:

新型渗透手法:利用XSS绕过WAF进行SQL注入

*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

0×00 前言
看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思...

web安全 |caiji阅读(20) 标签: