2013
07-18
07-18
struts2远程命令执行漏洞(s2-016)分析及防范
Struts2的官网在17号上午又公布了一个远程命令执行漏洞,随后各种版本的利用工具满天飞,对于wooyun和某些安全工程师童鞋来说,今天应该是备受压力和煎熬的一天!
17号上午11点空虚浪子心大牛的微博发了一条内容,随后经过各种大牛的转播,引爆了又一次的struts2远程命令执行漏洞换rank的浪潮!上一次struts2远程命令执行漏洞大爆发还要追溯到2012年5月份左右,同样wooyun.... Read More >
国外某童鞋收集整理的针对HTML5的
XSS测试代码
<video> <source onerror=”javascript:alert(1)”>
引入媒体类测试代码Example:
<video onerror=”javascript:alert(1)”>.... 
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.
为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?
无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xx.... 
二维码(Qr code)最开始是专门为工业应用涉及的,后来在广告业得到普及。
一个典型的二维码可以包含:
* 电子版本的联系信息;
* 可以包含事件信息,扫描一个海报或者app上的二维码,可以自动现实地理位置或者下载操作等;
* 可以包含无线配置数据;
利用人的好奇心和.... 
SQL注入中,有很多技术语句会和Union select 联合使用,比如load_file()、 into outfile() 、informaction_schema、char()、cast()和limit.很多攻击者平时最常用到的是union语句,informaction_schema和orde.... 
这篇文章谈论简单的技术,利用sql注入(SQLi)漏洞,并获得一个webshell,所有的演示都是用DVWA(渗透测试演练系统).对于SQL注入利用,有以下几个基本步骤:
1,发现SQL注入点;
2,通过mysql数据库帮助,进一步进行注入,获取帐号密码等敏感信息;
3,上传web.... 
闲来蛋疼,给小本装个双系统,写篇小小的文章,记录一下 ^_^~!
1,制作U盘系统安装盘
用到Universal-USB-Installer-1.9.3.1,低于1.9.3.1版本的,在选择系统类型的时候找不到kali linux,制作的系统安装盘在安装系统的时候容易出问题。
.... 
第一期的爱心助学项目结束之后,很多朋友表示错过机会很遗憾,因此建议发起第二期的爱心助学项目.联系西海固的老师,又整理的六个孩子的资料,希望能得到各位同行的关注和支持。
相关链接:
IT人爱心项目一
IT人爱心项目一捐款明细
IT人爱心项目一落实情况
IT.... 
本人将介绍几款比较不错的Web渗透测试工具,Powerfuzzer、N-Stalker和w3af.通过本人你将学会这几款工具的简单使用,以及xss、sqli等常见漏洞的利用等,适合新手朋友。
Powerfuzzer
官方网站:http://www.powerfuzzer.com
Pow.... 
这是本站发起的第二个爱心项目,给宁夏西海固什子中学的初中生募捐一些课外读物(新旧不限).那边的学校基本都没有图书馆,网络普及程度非常低,甚至当地很多地方都没有书店。对西海固的孩子来说,精神需求可能比物质需求更加重要,因此发起这次爱心项目,希望能够为什子中学的孩子建立一个小型的图书馆。
.... 
历时好几个月,募捐了500元,好悲催的说;
很多时候过于理想化,想的太简单,真正做起来才发现是多么的难.
非常感谢法克论坛,90sec,3est,红黑联盟等对本次爱心助学的支持,特别感谢90sec-xiaoliumang、90sec-xxoo、滴水、鬼魅羊羔的爱心捐赠。
小流氓和x.... 
Sql Injection漏洞一直是在owasp排名第一的漏洞类型,有时候注入漏洞很难通过工具检测到.本文将详细介绍一下Sql Injection的各种类型,通过利用测试的环境,让大家对Sql Injection漏洞有比较多的了解.
什么是sql injection漏洞?
所谓SQL注入.... 
作者:Sky yakexi009@gmail.com
1.PAM工作流程
2.PAM 配置文件语法
module-type control-flag module_path optional
在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该....