快速分享文本、代码的网站Pastebin常常被黑客们用来分享自己的库、窃取的数据和其他代码,而现在它真的被用于黑客攻击了。 安全研究人员曾发现黑客们通过Gmail 草稿、Evernote等平...
WEB安全
WEB安全
XSS攻击的防范
过滤”<”和”>”标记XSS跨站攻击的最终目标是引入script代码在用户的浏览器中执行,所以最基本最简单的过滤方法,就是转换”<”和’>”标记。replace(str, &q...
WEB安全
如何正确防御xss攻击
XSS:Cross Site Script,本来简写是css,但为了区别样式表的css,因此在安全领域叫做“XSS”。XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶...
WEB安全
XSS的原理分析与解剖:第四章(编码与绕过)
0×01前言 很抱歉,这第四章被我推了几个月,今天是元旦难得有空,就把第四章写下。我先把主要使用的编码说下,介绍完会说下绕过。 本文建议与《杂谈如何绕过WAF》一同阅读。 0×02...
WEB安全
技术分享:杂谈如何绕过WAF(Web应用防火墙)
0×01开场白 这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家。 可能在大家眼中WAF(Web应用防火墙)就是“不要脸”的代名词。如果没有他,我们的“世界...
WEB安全
揭秘银行木马Chthonic:网银大盗ZeuS的最新变种|
说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过垃圾邮件来传播,中招的会下载一个程序,这...
WEB安全
sqlmap注入常见用法一条龙
sqlmap是一个灰常强大的sql注入检测与辅助工具,但是由于没有图形界面,基本上用起来比较麻烦,导致很多人可能宁愿用havij或者是pangolin也不愿意麻烦去翻帮助界面,我自己也是把很多语句贴到...
w78cms后台拿shell
国外的一个站,采用了w78cms程序,貌似这程序还挺少见,发现貌似给人搞过了,百度下前人经验,他们是这样说的:方法一: 前提条件:对方未修改数据库的默认地址 第一步:订购页面,直接在 产品名...
WEB安全
被DDOS了怎么办,浅谈Liunx防御DDOS攻击
0x001 起因这几天遇到了疑似DDos恶意攻击,后来一查,原来是虚惊一场,可能是有人使用作弊手段刷广告,导致流量暴增,吓到机房的人尿了,马上黑洞了被攻击的服务器,导致业务中断,这么一搞,吓到我也差点...
WEB安全
扫描工具的WEB化趋势
随着时代的发展,许多软件的架构都从C/S转移到了B/S中。无论什么工具,什么软件,向B/S架构转变确实是一种潮流和趋势,可以到达跨平台和傻瓜化的效果。目前,很多网络安全工具扫描工具都退出了自己的WEB...
