波波的文章

簡單來說，JWT就是一個非常輕量級的業務流程管理規範。 該規範允許我們通過JWT在用戶和服務器之間安全可靠地傳遞信息。 JWT通常用於實現前端和後端的解耦，同時，它還可以與Restful API一起使用，用於構建身份驗證機制。 下面，我們以...

讚(0)波波2018-05-14Web Security 閱讀(1992)

DEFCON China首次於2018 5/11-5/13在中國北京舉辦，趕快來嘗鮮一下其中一道CTF題目吧 原文出處：http://www.cnblogs.com/iamstudy/articles/2018_defcon_china_p...

讚(0)波波2018-05-13CTF 閱讀(1471)

手機驗證碼在web應用中得到越來越多的應用，通常在用戶登陸，用戶註冊，密碼重置等業務模塊用手機驗證碼進行身份驗證。針對手機驗證碼可能存在的問題，收集了一些手機驗證碼漏洞的案例，這裡做一個歸納總結，在測試中，讓自己的思路更加明確。常見的手機驗...

讚(0)波波2018-05-12未分類 閱讀(1955)

一般的，利用能夠執行系統命令、加載代碼的函數，或者組合一些普通函數，完成一些高級間諜功能的網站後門的腳本，叫做 Webshell。 本篇文章主要探討關於PHP 語言的Webshell 檢測工具和平台的繞過方法，實現能夠繞過以下表格中7 個主...

讚(0)波波2018-05-11Web Security 閱讀(1762)

前不久，我在測試一個web應用時，發現可以注入任意內容到SNMP配置文件中，然後利用更新的配置文件來重啟服務；我已經能夠通過web接口修改社區字符串(community string:人類可讀的字符串數據值)並且允許訪問任意IP，我個人感覺...

讚(0)波波2018-05-10Web Security 閱讀(1352)

一些內網滲透中用到的方式： IPC$登錄以及文件的上傳與下載 命令執行 原文出處：https://xz.aliyun.com/t/2319 －－－－－－－－－－－－－－－－－－－ 如果你認同支持我們每日分享的文章的話，請幫我們按個讚並且點擊...

讚(0)波波2018-05-09內網滲透 閱讀(1801)

前不久BEC漏洞的事情想必大家都了解了，黑客通過這個漏洞給自己刷了兩波天文數字般的BEC幣，想必很多人都流著口水。雖然不能教大家在現實中撈一把，但在虛擬環境下撈一筆還是可以的，順便還能學下區塊鏈、智能合約的部署，說不定以後能用得上，然後走上...

讚(0)波波2018-05-08區塊鏈 閱讀(1696)

CVE-2018-873X組合拳：深入分析NagiosXI漏洞鏈 在NagiosXI中，我們發現了四個漏洞，這本不足為奇，然而，如果將它們鏈接在一起的話，卻可以構造出一個root級別RCE漏洞，具體利用代碼可在此處找到。換句話說，漏洞鏈接技...

讚(0)波波2018-05-07未分類 閱讀(1533)

這篇文章主要是要說明的是在PHP中由於對於$_REQUEST的認識不足或者是使用不當而導致的漏洞。目前漏洞類型主要是有兩種，對$_REQUEST認識不足從而導致過濾失效，使用不當則指的存在HPP的漏洞從而導致全局WAF失效，這個漏洞也就是在...

讚(0)波波2018-05-06Web Security 閱讀(1599)

關於link標籤，一個大家非常熟悉的特性就是prefetch，在以前CTF的XSS題目中，prefetch往往是我第一個使用的payload，因為他幾乎不被過濾，在Chrome中可以無視CSP策略並且可以第一時間得到管理員的UA和refer...

讚(0)波波2018-05-05Web Security 閱讀(1473)