标签归档:web安全

2015
05-25

Fofa搜索结果采集及漏洞利用小脚本

Fofa搜索结果采集及漏洞利用小脚本   看到有小伙伴问fofa搜索结果采集的问题 http://zone.wooyun.org/content/17971 贴上之前写过的一个简单的采集加利用,代码效率特别低,就抛砖引玉一下! fofa在不登录状态下默认只展示一部分搜索结果,可以利用它提供的api接口来获取所有的搜索结果.... Read More >
2015
03-04

Java代码审计基础(一)

本文重点是让大家了解JAVA代码审计的基础,会以漏洞示例的方式介绍JAVA代码中常见Web漏洞的形成和针对的修复方案,文章是在国外网站上看到的,因为在接触JAVA代码审计,感觉挺高大上的文章,很适合对JAVA代码审计感兴趣的童鞋找感觉之用,就根据自己的理解翻译了过来,拿去某平台投稿,被鄙视说太基础,就只好发自己的Blog上了。 SQL注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入We.... Read More >
2013
08-11

浅谈内容欺骗漏洞

浅谈内容欺骗漏洞 内容欺骗漏洞是指攻击者可以通过修改网页源代码,让访问者觉得是该功能或者该站点是可信合法的,来达到欺骗用户的目的。内容欺骗往往利用web服务的用户和组织之间建立的信任关系,意图是欺骗用户,达到钓鱼获取用户敏感信息的目的。 OWASP也将也被称为内容注射或者虚拟污损,内容欺骗漏洞攻击一般是和社会工.... Read More >
2012
09-26

Web应用程序渗透测试工具IronWASP

Web应用程序渗透测试工具IronWASPIronWASP是一款优秀的web应用程序高级安全性的测试平台,是开源的系统,主要用户测试Web应用程序的漏洞。这个工具是非常简单易用的,初学者可以使用。如果用户对python和ruby比较了解的话,还开源用这个工具创建自定义的扫描。 这个工具的另外一大优势是,它使用各种外部库,使之更加强大,.... Read More >