WEB安全

基于Service Worker 的XSS攻击面拓展

基于Service Worker 的XSS攻击面拓展

作者:LoRexxar' 在前段时间参加的CTF中,有一个词语又被提出来,Service Worker,这是一种随新时代发展应运而生的用来做离线缓存的技术,最早在2015年被提出来用作攻击向,通过配合xss点,我们可以持久化的xss…
Web安全之SQL注入攻击技巧与防范

Web安全之SQL注入攻击技巧与防范

在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限。在Web发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全…
PHP trick(代码审计关注点)

PHP trick(代码审计关注点)

随着代码安全的普及,越来越多的开发人员知道了如何防御sqli、xss等与语言无关的漏洞,但是对于和开发语言本身相关的一些漏洞和缺陷却知之甚少,于是这些点也就是我们在Code audit的时候的重点关注点。本文旨在总结一些在PHP代码…
简单粗暴的文件上传漏洞

简单粗暴的文件上传漏洞

前言 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要…
ZLAB恶意软件分析报告:RANSOMWARE-AS-A-SERVICE平台

ZLAB恶意软件分析报告:RANSOMWARE-AS-A-SERVICE平台

CSE CybSec ZLab恶意软件实验室的安全专家对黑暗网络上的主要Ransomware即服务平台进行了有趣的分析。 多年来,黑网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑客还出现了其他服务,包…
基于JXWAF快速搭建钓鱼网站

基于JXWAF快速搭建钓鱼网站

一、前言 前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。 PS:本文仅用于技术讨论及分享,严禁用于非法用途 二、规则配置 首先假设攻击场景为获取公司内部OA账号…
Memcache UDP反射放大攻击技术分析

Memcache UDP反射放大攻击技术分析

Memcache UDP 反射放大攻击(以下简称 Memcache DRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。 在PoC 2017 会议上的原始报告 Memcache DRDoS,由3…