WEB安全
http head injection
追梦
http head injection 本文仅针对http 头注入进行总结,首先按常见性罗列一下存在http头注入的参数. 上述http头部存在都是有真实的案例,作为科普文,还是得将每个头部具体干嘛的写下. HTTP头部详解 Use…
MySQL注入两种写入一句话快速拿Webshell的方法
利用需要满足以下条件: root权限 GPC关闭(能使用单引号) 有绝对路径(读文件可以不用,写文件必须) 没有配置–secure-file-priv 1.union [crayon-68a328ce962e7599565231/]…
web安全之如何全面发现系统后台
前言 所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网站数据库和文件的快速操作和系统…
第五届中国网络安全大会
第五届中国网络安全大会(NSC2017)在京隆重举行 或 第五届中国网络安全大会(NSC2017)在京盛大召开 或 第五届中国网络安全大会 观信息安全“产、学、研、用” 或 第五届中国网络安全大会(NSC2017…
【安全会议】ISC中国互联网安全大会五岁啦!
2013,2014, 2015, 2016, 2017…… 在互联网快速发展迭代的潮流中,ISC中国互联网安全大会已走到第五个年头,今年迎来了五岁生日。 五届聚力前行 安全永无止境 ISC中国互联网安全大会始办于2013年,在国家互…
换个角度看看,为什么钓鱼攻击总能成功?
当我第一次收到银行发来的“安全”邮件时,我第一反应就是这里是否有诈?因为在我看来,它实在是太像钓鱼邮件了。这封躺在收件箱里的邮件来源于我银行经理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不仅附带有一个HTML页面,而且还有…
Intel的漏洞,怎么利用(CVE-2017-5689)
5月1日,英特尔(Intel)公司官方公布了一个严重高危(Critical)级别安全漏洞,据Intel声称,该漏洞主要存在英特尔管理引擎(ME)的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中,攻击者…
Sqlmap Tamper使用笔记整理大全
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲…
JavaScript表单劫持用户名和密码(后门免杀)
原理:在正常的登陆页面,留下一段恶意JS代码,在登陆账号密码的同时会把账号密码悄悄的发送到接收站点。 实验环境: 1、test.html 正常页面 2、test2.php 用来验证账号密码数据的正常页面 3、test3.php 攻击…
【干货】搜集的多种一句话木马,自行测试毕竟环境不同
#各位老铁还需自行测试,毕竟环境啥的都不同! #不多废话,直接上货。 [crayon-68a328ce984ff621633331/] PHP一句话 : [crayon-68a328ce9850d837987305/] JSP一句话…