波波的文章

“用 PDO 來防止 SQL 注入。”大概學過 PHP 的都聽說過這句話。程式碼中出現了 PDO 就行了嗎？答案肯定是否定的。接下來給大家介紹幾種使用了 PDO 還是不能防止 SQL Injection的情況。 原文出處：https://m...

讚(0)波波2018-05-23Web Security 閱讀(2661)

前言 學習遊戲輔助必備的技能主要包括：遊戲數據的查找、功能函數的調用、封包數據的分析、輔助程序的開發幾個部分。首先就是遊戲數據的查找，接下來我們以一款回合製遊戲 《逍遙情緣》（時間：20180512，版本：7.3.0） 為例給大家進行分析和...

讚(0)波波2018-05-22Reverse 閱讀(1946)

0x00 前言 ngx_lua_waf是一款基於ngx_lua的網頁應用防火牆，使用簡單，高性能，輕量級默認防禦規則在wafconf目錄中，摘錄幾條核心的SQL注入防禦規則： select.+(from|limit) (?:(union(....

讚(0)波波2018-05-21Web Security 閱讀(1915)

隨著企業內部業務的不斷壯大，各種業務平台和管理系統越來越多，很多單位往往存在著“隱形資產”，這些“隱形資產”通常被管理員所遺忘，長時間無人維護，導致存在較多的已知漏洞。 在滲透測試中，我們需要盡可能多的去收集目標的信息，資產探測和信息收集，...

讚(0)波波2018-05-20Web Security 閱讀(1822)

這系列的文章，基本上不講記憶體結構、組合語言、C/C++等，希望用最簡單的方式 幫助大家能夠快速了解怎麼去破解、逆向。當然，想要學好逆向一定是要去了解記憶體、組合語言、Win32、PE...etc ---------------------...

讚(0)波波2018-05-20零基礎學破解 閱讀(3369)

由資安研究人員Phith0n透過代碼審計小密圈與以往CTF比賽所累積的知識，打造的一個碎片化知識學習平台 - 梧桐百科，目前裡邊有PHP安全、Java安全、Python安全、SQL注入，文章還在陸續更新中，是個不錯的知識學習平台。 透過gi...

讚(0)波波2018-05-19Web Security 閱讀(2485)

0x00：前言 JSP後門，一般是指文件名以.jsp等後綴結尾的，可運行於Java servlet及相關容器和組件內的通用JSP腳本。 本文主要討論利用Java反射機制和Java類加載機制構造JSP系統命令執行後門，並繞過一般軟件檢測的方法...

讚(0)波波2018-05-18Web Security 閱讀(1840)

0x00 傳統SSRF繞過 傳統SSRF過濾器的方式大致是以下幾個步驟： （1）獲取到輸入的URL，從該URL中提取host （2）對該host進行DNS解析，獲取到解析的IP （3）檢測該IP是否是合法的，比如是否是私有IP等 （4）如果...

讚(0)波波2018-05-17Web Security 閱讀(1606)

在設計紅隊的網絡基礎設施架構時，要考慮到否能夠提供長期（數週、數月、數年）和穩定的響應服務，這要根據功能來拆分每個資產服務，這一點非常重要。當網絡對抗中的資產服務被(藍隊)發現時，將會造成對方的警覺。 原文出處：https://paper....

讚(0)波波2018-05-16未分類 閱讀(1809)

據 ArsTechnica 報導，此前在互聯網上被廣泛使用的電子郵件加密方法（PGP 與 S/Mime），已經曝出了兩個嚴重的漏洞，或導致加密電郵在黑客面前暴露無遺。週日晚些時候，一名研究人員警告稱，當前沒有可靠的解決方案，只能建議那些為敏...

讚(0)波波2018-05-15漏洞預警 閱讀(1374)