SecJack 的所有文章

代码审计初探与XDCMS审计

代码审计初探与XDCMS审计

代码审计初探之XDCMS 一来总结一下最近所学习的代码审计的知识。 二来实战一下一个小CMS的代码审计。 代码审计 目的 查找并修复在开发阶段存在的一些漏洞或程序逻辑错误,避免漏洞被非法利用给企业带来风险。 应该让开发人员填写一个C…
各种常见漏洞以及解析

各种常见漏洞以及解析

一、sql注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为…
Webshell工作原理与免杀学习

Webshell工作原理与免杀学习

最近学习了一些Webshell相关的知识,来补充一下,这是一个大块,绕过的姿势千奇百怪,就算市面上出来的也有很多,还是好好学习。 Webshell工作原理 php常见的eval类型一句话木马 [crayon-5d8099faa0d3…
浅谈逻辑漏洞

浅谈逻辑漏洞

先基本介绍一些逻辑漏洞 一、支付漏洞 一般分为3类:一是在支付过程中直接发送含有需要金额的数据包;二是没有对购买数量进行限制;三是程序的异常处理。 支付过程中直接发送含有需要支付金额的数据包 我们通过直接修改前端或者数据包金额来进行…
渗透前的目标信息收集小结

渗透前的目标信息收集小结

前言: 信息收集分类: 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现,如通过搜索引…
智能合约代码审计

智能合约代码审计

最近几年区块链风头正旺,也有不少企业有代码安全审计的需求,因此也从网上搜索了业内的相关技术类的网站,本篇文章文章以实例编写翻译,感觉不错,分享到社区作为笔记 为了教会你如何进行审计,我会审计我自己写的一份合约。这样,你可以看到可以由…
Redis SSH的免秘钥登陆

Redis SSH的免秘钥登陆

0x00什么是Redis? Redis是一个开源的使用ANSIC语言编写、Key-Value数据库,并提供多种语言的API,所谓的KEY对Value指的是每一个Key都对应一个value值。value也可以是null。与memcac…
逻辑让我崩溃之验证码姿势分享

逻辑让我崩溃之验证码姿势分享

## 0x00 日常BB 看论坛里大家平时发的技术文章,就知道自己是个还没踏进门槛的小学生,根本不在一个level,有点慌了。还是把自己平时发现的,自认为有点意思的点罗列出来,班门弄斧,师傅们别笑话→.→ ## 0x01 前言 本次…
联名主题活动:助力白帽子,我们在行动!

联名主题活动:助力白帽子,我们在行动!

中国互联网安全大会(ISC) 将于2018年9月4日在北京华丽登场。自2013年以来已经成功举办过5届,美国第一任网络司令部司令基斯.亚历山大、 美国911后第一任安全部部长汤姆·里奇、“计算机病毒之父”美国专家弗雷德•科恩、迈克菲…