web安全 第2页

2022-05-20hush阅读(90)赞(0)

一、简介   在对网站进行渗透测试过程中，经常会遇见WAF，从而导致直接封IP，无法上传文件，文件上传漏洞对Web应用来说是一种非常严重的漏洞。   一般情况下，Web应用都会允许用户上传一些文件，如头像、附件等信息，如...

2022-05-18hush阅读(98)赞(0)

一直以来，都想摆脱sqlmap的束缚，通过自定义脚本来完成 某月某天，挖盒子过程中，burpsuite扫出某个sqli，花了点时间测了下，确实有些搞头。 是一个from子查询payload，select*from(select sleep(...

2022-05-17hush阅读(94)赞(0)

0x01 前言 周末时间中午吃饱喝足后，闲着无聊上线玩了几把游戏，听着音乐，本想周末就这样悠闲的过的，怎么老输，开始键盘侠上线 ，没办法，人菜又瘾大。 PS：本文仅用于技术讨论，严禁用于非法用途，违者后果自负，与本站及作者无关。 0x02 ...

2022-05-10hush阅读(121)赞(0)

“ 摸瓜是一款免费的在线安卓apk反编译神器，支持域名、ip、邮箱、手机号的自动提取，可在线查看反编译后的java源代码等。笔者使用摸瓜有段时间了，体验非常好，不管你有没有APK反编译基础都能使用。可以说已经完全替代了apktool三件套，...

2022-05-09hush阅读(92)赞(0)

前言 在渗透测试的很多时候，我们可能都得不到数据的回显。由于得不到数据的回显，我们就无法进一步判断我们渗透测试的结果。所以本文告诉大家，在没有回显的时候，我们又该如何测试。 1.利用ping ping `命令`.dnslog 有很多免费的d...

2022-05-08hush阅读(125)赞(0)

大家都知道webshell的执行分为数据输入、数据传递、数据执行三个阶段，目前可以查阅的资料大多数都是在数据传输和数据执行阶段的绕过，在数据传输阶段的绕过极少，因为通常用来进行数据传输的GET、POST、REQUEST、COOKIE、SES...

2022-05-06hush阅读(81)赞(0)

介绍         跨站点脚本 (XSS) 是最常见的 Web 应用程序漏洞之一。它可以通过清理用户输入、基于上下文转义输出、正确使用文档对象模型 (DOM) 接收器和源、执行正确的跨源资源共享 (CORS) 策略和其他安全实践来完全防止...

2022-05-05hush阅读(102)赞(0)

目录 1. Nmap (Network Mapper) 网络映射器 2. Nessus 3. Nikto 4. Kismet 5. NetStumbler 6. Acunetix 7. Netsparker 网络火花 8. Intruder...

2022-04-30hush阅读(109)赞(0)

一.起 进入登陆界面 然后直接弱密码admin/admin，成功进入后台 然后开始到处寻找可利用的点，于是找到了文件上传的点 然后bp抓包，上传一句话木马，发现只是一个简单的前端过滤 然后上传成功，返回了一个路径 访问路径发现已经成功了 二...

2022-04-29hush阅读(92)赞(0)

起因：夜黑风高的晚上内卷中，某大佬发了一张图过来。 1. 大佬来吊我： 2. 通过一番交流，他将phpinfo给了我： 接着看了一下问题：   Disable_functions函数： 3. 看丑恶的嘴脸： 4. 又沟通了一下，上...