shop7z最新版本SQL注入(2014-10-22)该系统漏洞从未补过...确实注入点1:productlist.asp post keyword=xxx 注入点1:/ord...
漏洞分享
漏洞分享
网络安全
百足之虫死而不僵:Auto456家族木马的死灰复燃
就在今年上半年,456游戏大厅还是金钱的代名词。一个看起来并不起眼的游戏平台,注册用户却达2000余万,每天获利最高可达100余万。这样的一个游戏大厅,必然是各路木马的兵家必争之地。于是针对456游戏...
网络安全
内网劫持渗透新姿势:MITMf简要指南
声明:本文具有一定攻击性,仅作为技术交流和安全教学之用,不要用在除了搭建环境之外的环境。 0×01 题记 又是一年十月一,想到小伙伴们都纷纷出门旅游,皆有美酒佳人相伴,想到这里,不禁潸然泪下...
网络安全
慎用免费HTTPS:看似美好的免费“通用SSL证书”
上个月月底,CloudFlare宣布向所有客户提供免费的SSL支持。一时间,全世界的云计算供应商以及开发者大为欣喜,首先作为一个网站管理员,他可以在更小的成本下为客户提供更加安全的服务,并且Googl...
网络安全
敞开的地狱之门:Kerberos协议的滥用
微软的活动目录默认使用Kerberos处理认证请求。在BlackHat 2014上神器Mimikatz的作者剖析了微软实现的Kerberos协议中存在的安全缺陷,并通过神器Mim...
网络安全
从语法解析角度分析Bash破壳漏洞
我们团队结合poc分析了解一下Bash的语法规则,从另外一个角度帮忙大家更好的了解bash以及shellshock漏洞。 漏洞说明 http://cve.mitre.org/cgi-bin/c...
网络安全
AutoIt木马又一发:暗藏神秘照片
AutoIt是一个自动化的Windows界面交互的脚本语言,具有很高的灵活性和较低的学习曲线。由于AutoIt解释器本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件,在系统中...
网络安全
破壳(ShellShock)漏洞样本分析报告
一.漏洞事件介绍 1.漏洞信息 ●发布时间:2014-09-25 14时48分04秒 ●CVE ID:CVE-2014-6271 ●受影响版本: 2.漏洞概述 Bash(GNU B...
网络安全
Bash远程解析命令执行漏洞测试方法
从昨天开始,这个从澳大利亚远渡重洋而来的BASH远程命令执行漏洞就沸腾了整个FreeBuf,大家都在谈论,“互联网的心脏又出血了”,可是,亲,到底怎么对网站进行测试?下面这段脚本 $ env...
网络安全
Linux内核实现多路镜像流量聚合和复制
应用场景 我们在进行安全性监控、测试的过程中,难免会遇到这样的问题:需要部署大量基于镜像流量的安全设备,如IPS,异常流量,数据库审计,流量分析等,可是交换机上可以做镜像流量的端口数量有限制,购买专业...
