WEB安全

0每周更新 45文章总数

XSS Tricks – 从 Self-XSS 到登录你的账户

0x00 从信息泄露说起随着web的不断发展,前端越来越复杂, 交互也越来越多。在前后端交互的过程中,往往会需要在页面/API中输出许多冗余的东西。程序猿哥哥们一不小心就会把敏感信息输出,...

Metinfo 5.3.17 前台SQL注入漏洞分析

Metinfo 8月1日升级了版本,修复了一个影响小于等于5.3.17版本(几乎可以追溯到所有5.x版本)的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响,可以直接获取数据,影响较广。0x01. 漏洞原理分...

命令执行的bypass技巧

首先感谢p总提供的精妙思路在一些存在命令执行漏洞的地方,通常程序员也会做一些过滤但是这些过滤往往只是针对某些特定字符,或者关键字的,因此存在绕过的方法。首先我们来看看在UNIX shell...

Oauth 2.0之点我的链接就进入了你的账号

最近要开始校招了,中午的时候室友说某在线测评网站做得真是坑,不小心调了个音量结果就balabala说”请不要离开当前页面”~~~我就去注册了一个账号测试了一下,然后溜达溜达着,发现网站提供第...

PHP安全编码规范之安全配置篇

因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置...

如何搭建HTTPS的云WAF

前言如何建立云WAF这篇文章讲述了我构造http的云WAF的经历。最近博客迁移到了https,所以就存在一个「https的WAF环境,应该如何配置」的问题。如何配置在手上没有什么资料的前提下,...

Oracle高级支持中的匿名SQL执行

一年多以前,我正在对客户的外部环境进行渗透测试。任何外部渗透测试中的关键步骤之一就是绘制可访问的Web服务器。nmap与EyeWitness的组合使得这一步相当快,因为​​我们可以对Web服务器执行...

切换注册

登录

忘记密码 ?

切换登录

注册