歡迎光臨
我們一直在努力
Web 滲透與漏洞研究
264

Web 滲透與漏洞研究 第21頁

Web 滲透測試、網站漏洞、注入攻擊、RCE、XSS、SSRF 與防護實務。
時間延遲盲注的三種加速注入方式[mysql篇]-波波的寂寞世界

時間延遲盲注的三種加速注入方式[mysql篇]

在日常滲透中,我們會遇到時間延遲盲注的場景,那麼如何提高注入的速度,快速的達到注入的效果就是我們白帽子要關注的問題了。於此,筆者收集了網上三種加快時間延遲注入的方法供大夥審閱。 原文出處:http://www.ch1st.cn/?p=44 ...

贊(0)波波波波Web Security 閱讀(2581)
談escapeshellarg繞過與參數注入漏洞-波波的寂寞世界

談escapeshellarg繞過與參數注入漏洞

談escapeshellarg繞過與參數注入漏洞,參數注入漏洞是指,在執行命令的時候,用戶控制了命令中的某個參數,並通過一些危險的參數功能,達成攻擊的目的。 原文出處:https://www.leavesongs.com/PENETRATI...

贊(0)波波波波Web Security 閱讀(2593)
【技術分析】RPO攻擊技術淺析-波波的寂寞世界

【技術分析】RPO攻擊技術淺析

RPO(Relative Path Overwrite)相對路徑覆蓋,是一種新型攻擊技術,主要是利用瀏覽器的一些特性和部分服務端的配置差異導致的漏洞,通過一些技巧,我們可以通過相對路徑來引入其他的資源文件,以至於達成我們想要的目的。 原文出...

贊(0)波波波波Web Security 閱讀(2642)
考一個人對XSS的理解,聊 DOM Events-波波的寂寞世界

考一個人對XSS的理解,聊 DOM Events

考一個人對XSS的理解,聊 DOM Events,聊 windows / document 對象的細節屬性方法。 為什麼國內搞攻防,扎堆在WEB安全、滲透測試這兩塊的人最多?因為這兩塊是最容易的,只需要XSS彈個框,就能說自己是做WEB安全...

贊(0)波波波波Web Security 閱讀(2457)
mysql注入奇淫絕技(一)-波波的寂寞世界

mysql注入奇淫絕技(一)

insert 注入、Update注入、Select注入 對於時間盲注,我們一般都會通過sleep()或benchmark()函數構造時間延遲,但是如果sleep和benchmark關鍵字被過濾掉了該怎麼辦? 原文出處:https://mp....

贊(0)波波波波Web Security 閱讀(2137)
基於Service Worker 的XSS攻擊面拓展-波波的寂寞世界

基於Service Worker 的XSS攻擊面拓展

在前段時間參加的CTF中,有一個詞語又被提出來,Service Worker,這是一種隨新時代發展應運而生的用來做離線緩存的技術,最早在2015年被提出來用作攻擊向,通過配合XSS點,我們可以持久化的XSS控制。 本文提到的大部分技術來自 ...

贊(0)波波波波Web Security 閱讀(2706)
php各版本的姿勢(不同版本的利用特性)-波波的寂寞世界

php各版本的姿勢(不同版本的利用特性)

進行滲透測試時,一定要了解語言各版本的特性,每一個版本都有可能存在著不同的繞過姿勢,根據當下環境來判斷該出什麼招式,而不是只靠工具打天下。 原文出處:http://www.am0s.com/penetration/124.html ----...

贊(0)波波波波Web Security 閱讀(2074)
SVG XSS的一个黑魔法-波波的寂寞世界

SVG XSS的一个黑魔法

今天來跟小夥伴們探討一個有趣的問題,看答案前可以先好好思考下這個問題。 1.可以執行XSS的代碼: <svg><script>alert&#40;1)</script> 2.不可以執行XSS的代碼...

贊(0)波波波波Web Security 閱讀(2133)

波波的寂寞世界

Facebook聯繫我們