对于XSS的过滤,在很多网站中都是说,要过滤双引号,要过滤掉尖括号,这样就安全了。难道真的过滤了双引号和尖括号就完全安全了?在导入到Javascript中的变量中,XSS是有非常多方法的,很多时候我们...
WEB安全
腾讯一个典型的CSRF漏洞
今天想着找个腾讯的漏洞来着,太久没报乌云漏洞了,rank好低。然后找到了腾讯之前的一个老接口,使用q币买东西送游戏币的,简单测试了一下,存在csrf漏洞。 在使用Q币转换成游戏币的接口中,存在CSRF...
WEB安全
Web渗透练习技巧N则(一)
简介 对于我们的生活来说,web的重要性不言而喻,因为这个看起来简单的几个页面与我们的生活的联系越来越紧密,我们有更多的个人信息由其承载往来于服务器和我们的电脑之间,正因为如此,web的安全也变得越来...
WEB安全
剑走偏锋:细数Shell那些事
说到Shell,我想大家恐怕都不会太陌生。不仅如此,我想大家应该有不少自己的珍藏吧(有珍藏的可以私信我,咱们私聊:P) 按平台分类的话,基本上大体可以分为两大类:针对web级别的和针对系统级别的。针对...
WEB安全
如何使用WappalyzerAPI进行Web应用指纹识别
Web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用...
WEB安全
如何为WordPress做安全防护?
最近看了infosec出品的<<ProtectingWordPressInstallationsinanIaaSEnvironment》,决定给裸奔的wordpress做做安全加固。 wo...
过狗asp一句话
<% dim x1,x2 x1 = request("pass") x2 = x1 ...
WebShell三剑客(ASPXSPY、PHPSPY、JSPSPY)
ASPSPY:http://www.rootkit.net.cn/article.asp?id=132<已关闭>下载:ASPXspy2JSPSPY:http://www.forjj.com...
WEB安全
Nginx下多站点正确限制目录php执行权限
我一朋友是站长,他服务器里上传目录是这么配置的: #chomd -R -x upload 这可着实把我吓坏了,我说:“你平时都是这么干的吗?” 朋友:“对啊!把x执行权限...
WEB安全
遇到一个有趣的逻辑漏洞
遇到个有趣的逻辑漏洞,和大家分享一下。 某系统数据库是mysql。user表有个code字段,类型是int(11),这个字段是保存一个随机数,用来找回密码的时候做验证,默认值是0。 ...
