201308-11 浅谈内容欺骗漏洞 内容欺骗漏洞是指攻击者可以通过修改网页源代码,让访问者觉得是该功能或者该站点是可信合法的,来达到欺骗用户的目的。内容欺骗往往利用web服务的用户和组织之间建立的信任关系,意图是欺骗用户,达到钓鱼获取用户敏感信息的目的。 OWASP也将也被称为内容注射或者虚拟污损,内容欺骗漏洞攻击一般是和社会工.... Read More >
201307-10 HTML5下的XSS测试代码 国外某童鞋收集整理的针对HTML5的 XSS测试代码 <video> <source onerror=”javascript:alert(1)”> 引入媒体类测试代码Example: <video onerror=”javascript:alert(1)”>.... Read More >
201306-06 二维码(Qr Code):USSD指令恶意攻击 二维码(Qr code)最开始是专门为工业应用涉及的,后来在广告业得到普及。 一个典型的二维码可以包含: * 电子版本的联系信息; * 可以包含事件信息,扫描一个海报或者app上的二维码,可以自动现实地理位置或者下载操作等; * 可以包含无线配置数据; 利用人的好奇心和.... Read More >
201305-30 十大互联网安全火狐插件 PC安全方面,浏览一直是数量庞大的网名面临的主要问题之一,本文将分享用于firefox的10大互联网安全插件,希望对大家的上网浏览安全阀那个面有所帮助。 Extended Cookie Manager(扩展Cookie管理器) 扩展cookie管理器可以允许或者封锁网站发送的cookies,还可以用来改编某些网站的cookie权限。 Roboform Password Manager Ro.... Read More >
201304-25 共享的主机服务器风险简单分析 这篇文章的目标受众是服务器管理员,网站管理员,安全爱好者和专业信息安全人员等,主要简单分析了一个主机服务器存在的一些风险。 让我们来看看在一个共享的托管服务器上,你的网站不是那么安全的一些原因: 1,如果服务器上有任何一个网站被攻破,其它的网站可能也会面临被攻破的可能; 2,恶意攻击用户可以从主机提供商购买虚拟主机,然后达到入侵其它同服务器网站的目的; 3,虚拟主机没有足够.... Read More >
201304-19 SQLNuke-简单而快速的注入LOAD_FILE()工具 SQL注入中,有很多技术语句会和Union select 联合使用,比如load_file()、 into outfile() 、informaction_schema、char()、cast()和limit.很多攻击者平时最常用到的是union语句,informaction_schema和orde.... Read More >
201304-18 DVWA之从SQL注入到写入webshell 这篇文章谈论简单的技术,利用sql注入(SQLi)漏洞,并获得一个webshell,所有的演示都是用DVWA(渗透测试演练系统).对于SQL注入利用,有以下几个基本步骤: 1,发现SQL注入点; 2,通过mysql数据库帮助,进一步进行注入,获取帐号密码等敏感信息; 3,上传web.... Read More >
201303-28 用U盘安装Kali linux系统 闲来蛋疼,给小本装个双系统,写篇小小的文章,记录一下 ^_^~! 1,制作U盘系统安装盘 用到Universal-USB-Installer-1.9.3.1,低于1.9.3.1版本的,在选择系统类型的时候找不到kali linux,制作的系统安装盘在安装系统的时候容易出问题。 .... Read More >
201303-27 IT人爱心项目三:募捐助学 第一期的爱心助学项目结束之后,很多朋友表示错过机会很遗憾,因此建议发起第二期的爱心助学项目.联系西海固的老师,又整理的六个孩子的资料,希望能得到各位同行的关注和支持。 相关链接: IT人爱心项目一 IT人爱心项目一捐款明细 IT人爱心项目一落实情况 IT.... Read More >
201303-25 w3af、N-stalker等Web渗透测试工具使用介绍 本人将介绍几款比较不错的Web渗透测试工具,Powerfuzzer、N-Stalker和w3af.通过本人你将学会这几款工具的简单使用,以及xss、sqli等常见漏洞的利用等,适合新手朋友。 Powerfuzzer 官方网站:http://www.powerfuzzer.com Pow.... Read More >
201303-19 IT人爱心项目二:初中生课外读物募捐 这是本站发起的第二个爱心项目,给宁夏西海固什子中学的初中生募捐一些课外读物(新旧不限).那边的学校基本都没有图书馆,网络普及程度非常低,甚至当地很多地方都没有书店。对西海固的孩子来说,精神需求可能比物质需求更加重要,因此发起这次爱心项目,希望能够为什子中学的孩子建立一个小型的图书馆。 .... Read More >
201303-06 西海固爱心助学项目一完美结束 历时好几个月,募捐了500元,好悲催的说; 很多时候过于理想化,想的太简单,真正做起来才发现是多么的难. 非常感谢法克论坛,90sec,3est,红黑联盟等对本次爱心助学的支持,特别感谢90sec-xiaoliumang、90sec-xxoo、滴水、鬼魅羊羔的爱心捐赠。 小流氓和x.... Read More >
201302-05 手动SQL注入基础详解 Sql Injection漏洞一直是在owasp排名第一的漏洞类型,有时候注入漏洞很难通过工具检测到.本文将详细介绍一下Sql Injection的各种类型,通过利用测试的环境,让大家对Sql Injection漏洞有比较多的了解. 什么是sql injection漏洞? 所谓SQL注入.... Read More >
201302-03 浅谈linux pam体系结构 作者:Sky yakexi009@gmail.com 1.PAM工作流程 2.PAM 配置文件语法 module-type control-flag module_path optional 在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该.... Read More >
201212-22 跨站脚本(Xss)-新手指南 在这篇文章中,将解释如何使用跨站脚本(XSS)漏洞,以及如何利用它,本文会对JavaScript和XSS漏洞做一个简短的介绍。 XSS是跨站点脚本(Cross-Site Scripting)的简称,但你可能会问为什么不是用CSS代替。这是因为CSS已经被用于级联样式表,因此,使用XSS将防.... Read More >
201212-04 浅谈SQLI的危害和利用 继续SQLI话题之前,先了解一下网站应用程序的结构。很多网站都会用到数据库,数据库中存储用户名,密码以及一些用户的敏感信息.数据库中存储的信息一直是黑客比较感兴趣的东西,黑客想方设法通过入侵网站来获取这些信息. 某些行业标准已经规定数据库中存储的敏感信息需要用到md5+salt的方式进行加密处.... Read More >