防注入绕过必用11招1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31而Test也可以为CHAR(101)+CHAR(97)+CH...
当你的webshell可传文件,没法执行,或者找不到
recycler、temp目录就不说了,特别是有aspx的权限,找不到exe执行目录,都不好意思:C:\windows\system32\spool\PRINTERS\ C:\WINDOWS\IIS&...
MySQL数据操作命令,脱裤可能用到哦
备份MySQL数据库的命令mysqldump -hhostname -uusername -ppassword databasename > backupfile.sql备份MySQL数据库为带...
网络安全
QQ的ClientKey是非常愚蠢的验证方式
QQ很多登录的地方都是靠一个ClientKey来验证用户身份,而这个ClientKey是直接在地址栏里面提交的,没有任何的防护措施,并且已经使用了很久了,只要在局域网内嗅探一下,得到了ClientKe...
神兵利刃
一个很棒的Javascript混淆小工具
日本猥琐流代表Yosuke HASEGAWA在hit2011上附带发表的一个东西,非常有意思,非常强大的Javascript混淆工具,地址:http://utf-8.jp/public/jjencod...
HTTP协议中使用X-Forwarded-For来伪造IP
HTTP协议中,定义了这么一个HTTP头:X-Forwarded-For这个选项主要是用在非匿名的代理服务器发出的请求中,使用这个名称来告诉服务器,真实的请求是谁提出来的,在实际HTTP会话中并没有任...
SNMP带来的威胁,SNMP入侵
SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特...
业界关注
nod32杀毒官方任意下载文件漏洞
太蛋疼了吧,NOD32官方居然爆了个这么低级的漏洞,瞎了。。真瞎了。例子:http://www.eset.com.cn/api/desk/download.php?file=../../../../....
业界关注
使用 MD5 碰撞算法伪装木马,躲过杀毒软件查杀
MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单。MD5 碰撞发生器 v1.5,fastcoll_v1.0.0.5.exe,MD5 Collision Generator v1...
彻底去除Discuz!的版本信息
为了安全考虑,论坛最好要把版本信息去掉,有下面几处:1.robots.txt 中,把# # robots.txt for Discuz! Board #&nbs...
