说到Shell,我想大家恐怕都不会太陌生。不仅如此,我想大家应该有不少自己的珍藏吧(有珍藏的可以私信我,咱们私聊:P) 按平台分类的话,基本上大体可以分为两大类:针对web级别的和针对系统级别的。针对...
WEB安全
WEB安全
网络安全
漏洞挖掘分析:QCMSV2.0命令执行与暴绝对路径漏洞
QCMS是一款小型的网站管理系统。拥有多种结构类型,包括:ASP+ACCESS、ASP+SQL、PHP+MYSQL。今天叫兄弟们一起挖掘QCMS的漏洞,与大家分享挖洞的全过程。 把源码down下来,本...
移动安全
APP安全分析之打车软件
最近发现某款打车软件的APK非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。 经过严密的分析发现:该打车APP(司机版)主要的防护在两个地方 第一...
逆向工程
玩坏漏洞:让CVE-2014-4113成功溢出Win8
1、简介 在2014年10月14日的时候,Crowdstrike和FireEye发表了一篇文章,描述了一个新的针对Windows的提权漏洞。Crowdstrike的文章表明:这一新漏洞是在追踪一个高度...
硬件安全
论如何优雅地蹭饭:克隆篡改公司饭卡(M1卡)
最近借了Proxmark3来娱乐性的玩下RFID技术,工资甚低的我只好拿公司饭卡实验,优雅地蹭几顿。物业大叔表打我啊!以下操作纯属学习目的,初学难免错误较多,望斧正。 首先了解M1卡的结构:请...
WEB安全
如何使用WappalyzerAPI进行Web应用指纹识别
Web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用...
网络安全
旧瓶装新酒:GoogleDrive是如何被用于钓鱼攻击的
黑客们的目标正在逐渐瞄准那些云存储服务,比如谷歌云端存储(GoogleDrive)。几天前,趋势科技的安全研究人员就发现了一个盗取用户敏感账户信息的钓鱼攻击活动。在这次的钓鱼事件中,攻击者精心制作了一...
漏洞分享
资料汇总:WgetFTP软链接攻击漏洞(CVE-2014-4877)
Wget是一款从用于从网络上下载文件的开源工具,使用非常广泛。然而现在,它却出现了一个严重的安全漏洞:当Wget向FTP服务器请求递归目录时,存在一个关于软链接的漏洞,它将允许黑客任意创建文件、目录或...
WEB安全
如何为WordPress做安全防护?
最近看了infosec出品的<<ProtectingWordPressInstallationsinanIaaSEnvironment》,决定给裸奔的wordpress做做安全加固。 wo...
业界关注
callback噩梦:解析著名CMS框架DrupalSQL注入漏洞|A
FreeBuf科普 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳...
