渗透测试中使用浏览器的正确姿势(网站渗透测试实战入门)
渗透的时候使用得最多的就是浏览器和burp了,灵活使用浏览器可以使渗透的效率大大提高,这次就分享下我平时用浏览器的一些技巧。1. 浏览器的选择首选chrome浏览器,火狐浏览器为辅.mac的话还可...
使用硬编码的密码漏洞(硬编码密钥)
对于硬编码密码,Immunity公司威胁情报负责人曾表示,这项常见的开发者漏洞不仅广泛存在,而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门,尽管该公司否认硬...
Bypass宝塔防火墙和云锁SQL注入钓鱼站(宝塔防火墙绕过)
前言某天收到一封邮件一看就是钓鱼邮件,并且我也不玩LOL。看了看感觉这个系统好像见过很多次,研究了一下,顺手日了下来过程比较有意思,遇到了不少坑,写篇文章记录一下。正文信息搜集打开网...
声明为public static的域没有标记final缺陷简介
在一个类中,非静态成员变量对每一个对象都会有一个特定的值,在初始化非静态变量的时候是不分配内存的,只有创立对象后才会分配,而且不同对象之间的同名非静态变量是可以不同的;当用static修...
渗透笔记:如何通过SQL注入漏洞拿到系统的管理员权限
前言最近一段时间,我和Sudhanshu Chauhan一起参加了一个黑客挑战大赛,比赛中有这样一道有趣的题目:在只知道被渗透组织名称的前提下,对目标组织执行渗透测试任务。经过一番的摸索,我们通过...
从finally块中return漏洞(finally块中的代码什么时候被执行)
一、什么是从finally块中return?Java中的finally一般与try一起使用,在程序进入try块之后,无论程序是因为异常而中止或其它方式返回终止的,finally块的内容一定会被执行。代码在finally块中有...
日志伪造漏洞(日志伪造漏洞怎么办)
本期主题为日志伪造漏洞的相关介绍。01什么是日志伪造漏洞?应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以...
数据安全保护之访问控制技术(访问控制机制在信息安全保障体系中属于什么环节)
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据,需要多种技术手段作为保障,这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技...
BadBarcode条码攻击浅析(barcode编码规则)
在GEEK PWN大会上,TK为大家演示了腾讯玄武实验室最近研究的新成果—badbarcode,也就是对条码中一些安全隐患的研究。其实关于条码及二维码的安全研究由来已久,本文主要为大家介绍一下badbarco...
![[红日安全]代码审计Day17 – Raw MD5 Hash引发的注入-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2019/03/image25.png)
[红日安全]代码审计Day17 – Raw MD5 Hash引发的注入
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了...
