漏洞

scan 图

Goby新一代网络安全工具

Goby是一款新的网络安全测试工具,由赵武Zwell打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。因Goby基于网络扫描,所以使用前,请先赋予goby识别网卡的权限。完成这几点,争取今年Goby版本转正,发布正式版让大家批评指正。 »

Goby新一代网络安全工具

Goby是一款新的网络安全测试工具,由赵武Zwell打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。因Goby基于网络扫描,所以使用前,请先赋予goby识别网卡的权限。完成这几点,争取今年Goby版本转正,发布正式版让大家批评指正。 »

Goby新一代网络安全工具

Goby是一款新的网络安全测试工具,由赵武Zwell打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。因Goby基于网络扫描,所以使用前,请先赋予goby识别网卡的权限。完成这几点,争取今年Goby版本转正,发布正式版让大家批评指正。 »

CS 图

Goby新一代网络安全工具

Goby是一款新的网络安全测试工具,由赵武Zwell打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。因Goby基于网络扫描,所以使用前,请先赋予goby识别网卡的权限。完成这几点,争取今年Goby版本转正,发布正式版让大家批评指正。 »

成功爬取CVE-2019-9766漏洞复现【CSDN】【1】

成功爬取CVE-2019-9766漏洞复现【CSDN】【1】

代码: import requests import bs4 from bs4 import BeautifulSoup import re ss = '' headers = { 'user-agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.1... »

在这里插入图片描述

AWD攻防漏洞分析——文件上传

概述这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。Apache解析漏洞Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。 »

在这里插入图片描述

python反序列化漏洞 任意代码执行

上一篇博客中我介绍了python的字符串,元组,列表和字典的序列化 详细请看: python序列化中的字符串,列表,字典,类的序列化解释 这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码执行 举个例子: import pic... »

在这里插入图片描述

逻辑漏洞和越权(待补充)

逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。关于逻辑漏洞里的越权漏洞文章推荐:https://www.ddosi.com/p1077/https://www.bugbank.cn/q/article/598564c1a37d0e403a8b1954.html我自己在webgoat上做了几道类似与越权漏洞的题目,在这里总结一下,虽然简单但也助于理解:1.Using an ... »

在这里插入图片描述

web攻防漏洞之Bypass安全狗绕过

目的:攻击者在被害者网站上挂载一个自己的木马文件1.php,然后通过在攻击者电脑上访问该挂载文件来实现对被害者网站或者被害者电脑进行侵害。 攻击者希望执行: 创建服务器用户: key=echo('');system('net user a a /add'); 删除服务器用户: key=echo('');system('net user a /del'); 那么在被害者网站服务器上安装有应用防火墙的... »

思科—网络安全笔记

思科—网络安全笔记漏洞漏洞的分类软件漏洞 硬件漏洞1.缓冲器溢出:软件写数据的时候,超出数据区的边界 范围,导致访问到其他软件的内存数据,可能产生的后果有:系统崩溃,权限提升,数据受损等。 »

在这里插入图片描述

【漏洞挖掘实战篇】论文查重暗藏玄机,可能你的论文被卖了你都不知道

导语前两天看到一篇文章,说“我的论文被卖了”,目前论文查重服务水太深,并且已经形成了一定规模的产业,暗渠密布,各种骗局和信息安全问题层出不穷!所以当你修改好论文准备提交的时候,你会惊奇的发现有一篇跟自己极其类似的论文在不久前已经发布了。 »

在这里插入图片描述

闭关休养or趁火打劫:疫情之下焦点行业网络威胁分析

闭关休养or趁火打劫:疫情之下焦点行业网络威胁分析 新冠肺炎疫情期间,医疗和在线教育成为民生焦点。在此特殊时期,黑客都在干什么?主要瞄准哪些目标?企业该如何防范?腾讯安全平台部天幕团队联合腾讯桌面安全产品、云鼎实验室、安全专家咨询、云安全等团队,选取腾讯云上医疗和教育两大焦点行业,结合团队实战经验做出安全分析,希望对各企业应对特殊时期的远程办公安全威胁有一定的帮助。 一、攻击总体动向:黑客眼中的天... »

在这里插入图片描述

漏洞复现篇——PHP反序列化漏洞

简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 什么是序列化和反序... »

网络安全之黑客入侵的步骤

在网络安全中,攻和防紧密联系,要想时刻防护好网络的安全,防止黑客的入侵,我们首先需要了解黑客入侵的步骤,然后针对各个步骤实施相应的防护策略。所谓知己知彼,百战不殆,下面我们来看一下黑客入侵的步骤。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。通过创建额外账号等手段,为下次入侵系统提供方便。 »

tomcat漏洞的问题

tomcat漏洞的问题对于非容器化部署的项目,建议直接关闭ajp协议的方式处理对于容器化部署的,直接升级版本研发口这边我已经通知了2月20日,国家信息安全漏洞共享平台发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告,绿盟安全评估系统也同步向我们推送了有关该安全漏洞的预警通知。该漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。 »

Tomcat 竟爆出高危漏洞?Tomcat-Ajp 协议漏洞分析。

Tomcat 竟爆出高危漏洞?Tomcat-Ajp 协议漏洞分析。

漏洞背景 安全公告编号:CNTA-2020-0004 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:weba... »

python 翻译word表格小程序

背景 原是弱电集成的设计员,纠结很久后参加了python培训机构转职后的一员小白,由于一次工作中需要翻译一份近100页word表格,纯手工翻译大概三个小时,为了解决这种重复又耗时的劳动,并重温python 相关知识所以制作了该小程序。 脚本详情 import re import docx import time import pandas as pd from selenium import we... »

Tomcat 爆出高危漏洞!可导致网站、数据泄露!附解决方案

Tomcat 爆出高危漏洞!可导致网站、数据泄露!附解决方案

漏洞背景 安全公告编号:CNTA-2020-0004 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webap... »

在这里插入图片描述

对指定网站渗透的一些总结

我是一名大二的学生,之前也没有网络安全的经验,现在才刚刚入门,所以,我就简单的把我自己一些外网的经验写下来,当然,大部分还是网上大牛的知识,我只是简单的总结与提炼了一下。如若存在源码泄露,下载下来,找数据库的config文件,以及各类密码,也可以对网站的源码进行审计,找到一些新的漏洞。 »

启动cmd

基础破解XP/Win 7开机密码方法(粘滞键漏洞)

该方法利用了比较老旧的漏洞,较新的系统已经将漏洞修复,成功率不高 原理: 在正常的电脑上连续点击5词Shift键会出现粘滞键启用提示, 而粘滞键本身为一个程序,是在C:\Windows\System32目录下的一个名为sethc的应用程序,并且连续点击5次shift键则打开该应用, 那么我们所利用的就是这里的漏洞,在连续点击shift键的时候,计算机会搜寻名称为sethc的应用程序, 那么我们只需... »

XSS漏洞高应用——钓鱼页面

XSS漏洞高应用——钓鱼页面

实验环境:DVWA实验原理:钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程,它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据实验一:重定向钓鱼,即将当前页面重定向到一个钓鱼页面举例代码如下:实验步骤:1.将js代码写入低级别DVWA中的存储型XSS模块中:2. »

浅谈XSS漏洞

DOM型XSS的核心就是,原本的XSS语句不能造成XSS漏洞,但是,经过编码后,产生了XSS漏洞那么问题来了,我们要怎样检测XSS漏洞呢?一般来说,存储型XSS危害要更大一些。在进行XSS漏洞查找时先不要着急打恶意语句,首先,先要了解正常的操作是怎么样的。在做XSS的时候,最好自己先在本地搭建一个测试环境作者:奥展 »

在这里插入图片描述

漏洞复现篇——XSS靶场小游戏

环境安装: PHPstudy xss闯关小游戏 火狐浏览器 把安装包解压到www目录下即可 开始闯关: 游戏开始页面,点击图片进入第一关 level1 这一关将test改成alert(/xxx/)即可 通关页面 level2 这一关要查看源代码 找到test的位置,发现第二处有突破口 输入"onclick="alert(/xxx/)然后点击页面即可 level3 这一关把双引号改成了单引号所以输入... »

在这里插入图片描述

漏洞复现篇——利用XSS漏洞实现多种网络钓鱼方法

loginiframe 钓鱼这种方式是通过 标签嵌入远程域的一个页面实施钓鱼。iframe 钓鱼将构造好的 Flash 文件传入服务器,在目标网站用 或 标签引用即可。高级钓鱼技术注入代码劫持 HTML 表单、使用 JavaScript 编写键盘记录器等。 »

记一次在线学习平台的漏洞利用

记一次在线学习平台的漏洞利用 注:此漏洞已汇报给IT,已被修复 目录 漏洞介绍 具体实现 整体实现代码 漏洞介绍 在线学习平台study.test***.cn中SAT题卡允许用户重复提交,且提交后可获得错题报告,因此可以通过填3次题卡通过报告推出正确选项然后填第4次提交。但由于在提交一次后系统不允许再从主页面创建题卡的句柄,只有创建多个句柄后依次填卡提交才能利用此漏洞。此漏洞可以人为在浏览器中操作... »

Page 1 of 8123»