
Web安全研究人員是如何煉成的?
您是否有志於推動Web安全技術的發展,並與信息安全社區分享相關知識呢?在這篇文章中,我將為讀者分享與Web安全研究有關的各種建議,當然,這些建議一方面是來自某些成功經驗,而另一些則是來自於曾經踩過的坑,希望對大家有所幫助。 原文出處:htt...

您是否有志於推動Web安全技術的發展,並與信息安全社區分享相關知識呢?在這篇文章中,我將為讀者分享與Web安全研究有關的各種建議,當然,這些建議一方面是來自某些成功經驗,而另一些則是來自於曾經踩過的坑,希望對大家有所幫助。 原文出處:htt...

滲透測試過程中獲得到phpMyadmin的帳號密碼後,如何進行提權呢?往下看,我今天和你說說phpMyadmin提權那些事。 原文出處:https://bbs.ichunqiu.com/thread-41091-1-1.html?from=...

隨著網絡安全越來越受到重視,發展越來越快。隨之也出現了越來越多的安全防護的軟件。 了解WAF在網絡空間的位置,我們便可以更清楚的知道使用哪些知識來協助我們進行WAF bypass。 原文出處:http://drops.xmd5.com/st...

這邊分享個upload上傳靶機,題目包含繞過上傳.htaccess、%00繞過、解析漏洞等,小伙伴們可以下載下來練習看看 原文出處:https://github.com/c0ny1/upload-labs -----------------...

前兩天freebuf有篇文章“繞過安全狗getshell一條龍”後來改名“MySQL聯合注入之繞過安全狗到GetShell”,再後來被刪掉了。並且那個繞過的方法現在也不能用了。今天我們用另外一種方法繞過,助力各位大大們。 原文出處:http...

“用 PDO 來防止 SQL 注入。”大概學過 PHP 的都聽說過這句話。程式碼中出現了 PDO 就行了嗎?答案肯定是否定的。接下來給大家介紹幾種使用了 PDO 還是不能防止 SQL Injection的情況。 原文出處:https://m...

0x00 前言 ngx_lua_waf是一款基於ngx_lua的網頁應用防火牆,使用簡單,高性能,輕量級默認防禦規則在wafconf目錄中,摘錄幾條核心的SQL注入防禦規則: select.+(from|limit) (?:(union(....

隨著企業內部業務的不斷壯大,各種業務平台和管理系統越來越多,很多單位往往存在著“隱形資產”,這些“隱形資產”通常被管理員所遺忘,長時間無人維護,導致存在較多的已知漏洞。 在滲透測試中,我們需要盡可能多的去收集目標的信息,資產探測和信息收集,...

由資安研究人員Phith0n透過代碼審計小密圈與以往CTF比賽所累積的知識,打造的一個碎片化知識學習平台 - 梧桐百科,目前裡邊有PHP安全、Java安全、Python安全、SQL注入,文章還在陸續更新中,是個不錯的知識學習平台。 透過gi...

0x00:前言 JSP後門,一般是指文件名以.jsp等後綴結尾的,可運行於Java servlet及相關容器和組件內的通用JSP腳本。 本文主要討論利用Java反射機制和Java類加載機制構造JSP系統命令執行後門,並繞過一般軟件檢測的方法...