2012
10-17
10-17
CSRF漏洞详细说明
Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。
通常情况下,有三种方法被广泛用来防御CSRF.... Read More >
Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。
通常情况下,有三种方法被广泛用来防御CSRF.... Read More >
2012
09-30
09-30
[转载]Android平台下渗透测试工具集合
![[转载]Android平台下渗透测试工具集合](/wp-content/themes/frontopen2_v1.5.04.15/timthumb.php?src=/wp-content/uploads/2012/09/android.jpg&h=140&w=205&zc=1)
Ad Network Detector (1.2): http://market.android.com/details?id=com.lookout.addetector
App Backup & Restore (1.0.5): http://market.android.com/.... Read More >
2012
09-26
09-26
Web应用程序渗透测试工具IronWASP
IronWASP是一款优秀的web应用程序高级安全性的测试平台,是开源的系统,主要用户测试Web应用程序的漏洞。这个工具是非常简单易用的,初学者可以使用。如果用户对python和ruby比较了解的话,还开源用这个工具创建自定义的扫描。
这个工具的另外一大优势是,它使用各种外部库,使之更加强大,.... Read More >
2012
09-13
09-13
轻量级入侵检测系统(IDS)-Log4Trail
Log4Trail是一款轻量级的入侵检测系统,它可以用来监视用户的文件、文件夹、配置、脚本、备份,以及系统管理员和用户的目录等。它适用于windows、Linux、FreeBSD、Mac os等.
Log4Trail有非常友好的图形界面,可以帮助初学者,以及初级系统管理员和用户等,可以用来监视.... Read More >
2012
08-17
08-17
IBM Rational Appscan使用之扫描结果分析
之前有IBM Rational Appscan使用详细说明的一篇文章,主要是针对扫描过程中配置设置等.本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节.
扫描开始的时候,Appscan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度.
在扫描过程中,如.... Read More >
2012
08-13
08-13
XSS攻击汇总
很蛋疼的模版,蛋疼的编辑器插件,文章中写入以下汇总的xss,你会发现出现蛋疼的一幕,好文章再怎么蛋疼也要转载分享.只好截图:
转载的
原作者NightRaid
.... 2012
07-27
07-27
IBM Rational AppScan使用详细说明
本文由阿德马翻译自国外网站,尊重劳动成果,转载请注明出处,谢谢.
本文将详细介绍Appscan功能选项设置的细节,适合E文一般,初次接触Appscan的童鞋参考阅读.
Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应.... Read More >
2012
07-19
07-19
Google hacker工具使用和Google hacker防范
本文翻译自国外网站,请尊重劳动成果,转载注明出处,谢谢.
本文介绍了三款Google hacking工具:Gooscan、SiteDigger和Wikto的简单使用以及针对Google hacking行为的简单防范.
我们防范google hacker之前,让我们来看看谷歌黑客是什么?
.... Read More >
从国外网站翻译过来的,可能不甚准确.转载请注明出处.
这篇文章的重点是教我们如何破解不安全的wi-fi网络,我使用的是一款在黑阔间非常流行的外部wi-fi卡AWUSO36H 802.11 b/g 5db,它的市场价大概是20-35美元.这款wi-fi卡的优势在于其广泛的范围,使用者可以挑选所有.... Read More >
2012
07-18
07-18
wordpress Diary/Notebook主题邮件欺骗漏洞
Wordpress的这款Diary/Notebook主题是有site5设计的一款个人日记blog系统主题.近期爆出了邮件欺骗的漏洞.附上perl脚本的Exp:
#!/usr/bin/perl
# Exploit Title: Diary/Notebook Site5.... Read More >
2012
07-14
07-14
Web应用程序安全测试工具
Websecurify是一个功能强大的Web应用程序安全测试环境,是一款最佳的提供自动和手动漏洞测试技术的工具。能够快速准确的识别Web应用安全问题.它适用于所有主要的平台,有充满热情的团队经常更新。
官方网站:http://www.websecurify.com/
最.... Read More >
2012
07-14
07-14
开源网络协议分析器-Wireshark
Wireshark的是一个梦幻般的多平台开源网络协议分析器.它可以用来从存活的网络主机中检查分析数据,也看用来从磁盘中捕获文件.你可以交互地浏览捕获的数据,只是捕获的包的详细细节,需要你来分析。Wireshark有一些强大的功能,包括丰富的显示过滤器语言和查看TCP会话重构流的能力。它还支持数以百计.... Read More >
2012
07-03
07-03
IIS短文件和文件夹泄漏漏洞
本文翻译自exploit-db.com,是苦逼阿德马童鞋经过数小时折腾而成,转载请著名出处,tks.E文太菜,如果有错误之处请各位大大多多指正.
IIS是有微软使用微软windows功能扩展模块创建的一套web服务器应用程序,是世界上第三个最流行的服务器。
漏洞描述:
漏洞研究小组.... Read More >
2012
06-29
06-29
Struts2远程命令执行漏洞分析及防范
Struts 2是在 struts 和WebWork的技术基础上进行了合并的全新的框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱.... Read More >
2012
06-16
06-16
百度谷歌高级搜索命令
高级搜索命令
1、双引号
把搜索词放在双引号中,表示完全匹配搜索,也就是说搜索结果返回的页面包含双引号中出现的所有的词,连顺序也必须完全匹配。百度和谷歌都支持这个指令。
比如搜索:SEO方法图片
可以看出,返回的结果中不少页面出现关键词并不是完整的”SEO方法图片.... Read More >
2012
06-16
06-16
Web安全工具大汇聚
转载自:素包子's blog http://baoz.net
Test sites / testing grounds
SPI Dynamics (live) – http://zero.webappsecurity.com/
Cenzic (live) – http://crackme.c.... Read More >