一、SQL注入漏洞漏洞简介:程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的...
网络安全
DEDE:织梦漏洞修复(含任意文件上传漏洞与注入漏洞)
这几天阿里频繁提醒网站有漏洞,搞得我不胜其烦,好吧,我修复还不行吗?搜索之后整理如下,仅供参考(5.7以上版本适用):任意文件上传漏洞修复 一、/include/dialog/select_...
网络安全
ShadowBroker公布的NSA_windows下工具fb.py复现和中招检查方法
工具下载1、Python2.6和pywin32安装包(注意都是32位的,不然会导致调用dll payload文件失败):复现python和pywin32安装包 (分流下载:http://pa...
网络安全
jboss eap 6.2+ 版本中 加密datasource密码等敏感信息
默认情况下,在jboss eap 6.2+ 管理控制台创建datasource后,会在standalone.xml(独立模式)或host.xml(域模式)中以明文保存相关敏感信息。这会给服务器留下安全...
网络安全
自动化注入Bypass(附自动化sqlmap bypass tamper)
0x00 匹配资源大小限制某些Web服务器的特性不一,导致WAF在判断时候无法完全工作。经常出现的情况大部分都是协议层与Web服务器之间WAF没有很好的处理请求,导致无法拦截很多生僻的攻击手法,那么我...
Linux 2.6.32内核提权exp
linux 2.6.32内核提权exp,13年建立博客的时候就共享过的,后来因为现实有事博客就关了,现在又重新开上了,所以顺便把这个贴上吧。支持版本:Linux localhost.domain 2....
Linux 2.6.39 到 3.2.0 爆提权漏洞
Linux 2.6.39 到 3.2.0 内核爆提权漏洞,普通用户可以通过运行特定代码获得 root 权限。 重现方法:wget http://git.zx2c4.com/CVE-2012-...
邮箱安全
钓鱼邮件初探:黑客是如何进行邮件伪造的?
本文原创作者:dontshoot免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!现如今的钓鱼邮件都是通过注册相似的邮箱,或者设置邮箱的显示名称,盼着被害人有看...
WooYun-Drops
通用GPS卫星定位平台漏洞成灾用户位置信息告急
http://drops.wooyun.org/papers/11765 Author: 0x00 前言 近日,在新闻中曝光了多起通过GPS定位设备,跟踪绑架的事件(http://news.xinhu...
WooYun-Drops
通过ELF动态装载构造ROP链 ( Return-to-dl-resolve)
http://drops.wooyun.org/binary/14360 0x00 前言 玩CTF的赛棍都知道,PWN类型的漏洞题目一般会提供一个可执行程序,同时会提供程序运行动态链接的libc库。通...
