显示不全请点击全屏阅读 原文标题为《破那个垃圾安全狗技术总汇》,但是我觉得安全狗还是比较好的,至少可以帮到一部分对网站安全没有研究的站长,小弟我博客也使用了安全狗,可以防一部分人恶意攻击。不过鬼哥的文...
Seay信息安全博客
Seay信息安全博客
Seay信息安全博客
渗透技巧:DB_OWNER权限备份HTA |
显示不全请点击全屏阅读 以听LCX在杂志中提过,这些天注意了一下3389强出的服务器管理就是HTA的,所以有了一个范文,但没有考滤乱码问题,先这么放在这里有吧,有时间再弄下! 以前曾经流行过DB_OW...
Seay信息安全博客
渗透技巧:Java写文件时文件名00截断BUG导致的文
显示不全请点击全屏阅读 Java在上面两种环境写文件时,会因为00截断而无法正确为新生成的文件命名。比如用户需要的用户名abc.jsp .jpg,但经过00截断后,生成的文件的名称变为abc.jsp ...
Seay信息安全博客
安全隐患:利用$_SERVER和$_SESSION变量制造各类后门
显示不全请点击全屏阅读 首先来看php官方手册对于$_SERVER的注解: 该值为客户端提交的任意路径信息,取值为在实际脚本名称之后并且在查询字符串之前,例如假设当前url为http://www.xx...
Seay信息安全博客
MYSQL注入:MYSQL PDO宽字符SQL注入深入分析 |
显示不全请点击全屏阅读 首先查看以下代码 $pdo->query(‘SET NAMES GBK’); $var = chr(0xbf) . chr(0x27) . ...
Seay信息安全博客
waf绕过:WAF SQL防注入绕过方法 |
显示不全请点击全屏阅读 一般通用过滤字符串的关键字有以下这些: and | select | update | chr | delete | %20from | ; | insert | mid | ...
Seay信息安全博客
waf绕过:绕过360waf注入 |
显示不全请点击全屏阅读 环境: http://www.s**g.cn/news.asp?id=262 IIS+asp+access 原理: 在之前快递厂商安全小测中提到过。IIS下的asp.dll文件...
Seay信息安全博客
waf绕过:WAF绕过tips—-mysql |
显示不全请点击全屏阅读 1、转换大小写 1 2 3 4 5 6 7 mysql> SeLECt 1,2; +---+---+ | 1 | 2 | +---+---+ | 1 | 2 | +---...
Seay信息安全博客
waf绕过:WAF绕过tips—%u encoding |
显示不全请点击全屏阅读 常用的URL编码有UTF(%xx%xx)和十六进制编码(%xx),大部分IDS和WAF都可以识别并解码,然后再做正则匹配。但是IIS web服务器除了支持这两种编码之外,还支持...
Seay信息安全博客
渗透测试:渗透并安全处置某重要网站记录 |
显示不全请点击全屏阅读 下午接单位领导通知需对某重要政府网站进行安全应急处置工作,(已纳入恶意篡改数据黑客攻击案件)据说他们那边的服务器老是被入侵(管理员同学加固几次了依然被入侵); 然后让我们这边看...
