1、加入单引号 ’提交,结果:如果出现错误提示,则该网站可能就存在注入漏洞。2、数字型判断是否有注入; 语句:and 1=1 ;and 1=2 (经典)、' and '1'=1(字符型)结果:分别返回不同的页面,说明存在注入漏洞.分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会...
分类:
其他好文 时间:
2015-04-10 17:10:33
阅读次数:
119
点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞(目前腾讯金刚审计系统已经可检测此类漏洞),移动安全团队发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧。0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用...
分类:
移动开发 时间:
2015-04-01 09:25:16
阅读次数:
187
一体机&linux 服务器漏洞分析修补!LINUX: 5.X 64 cell storage: 11.2.3.1.1...
分类:
其他好文 时间:
2015-02-27 15:15:13
阅读次数:
165
0x01 漏洞描述phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下:phpMyAdmin4.0.1 – 4.0.10.64.1.1 – 4.1.14.74.2.1 – 4.2...
分类:
Web程序 时间:
2015-02-17 00:41:14
阅读次数:
335
工具类
SwiftyJSON:GitHub上最为开发者认可的JSON解析类
Safe.ijaimi:源码漏洞分析检测工具,一键完成
Dollar.swift:Swift版Lo-Dash(或underscore)函数式工具库
OAuthSwift:国外主流网站OAuth授权类...
分类:
编程语言 时间:
2015-01-14 09:49:29
阅读次数:
309
本文以CVE 2014-6034为例进行漏洞分析与验证,包括环境搭建抓包,特征提取验证各个环节。
1、下载软件:
ManageEngine OpManager 9
地址:http://manageengine-opmanager.soft32.com/
Kali Linux
https://www.kali.org/downloads/
我下载在是Kali Linux 64 bit...
分类:
其他好文 时间:
2015-01-09 19:25:11
阅读次数:
250
7月我在研究webview漏洞时专门挑小米手机的MIUI测试了下,发现了非常明显的安全漏洞.通过该漏洞可以远程获取本地APP的权限,突破本地漏洞和远程漏洞的界限,使本地app的漏洞远程也能被利用,达到隔山打牛的效果.在漏洞发现的第一时间,我已经将漏洞细节报告给了小米安全响应中心,目前漏洞已经修复。测...
分类:
移动开发 时间:
2015-01-07 12:21:30
阅读次数:
221
Author:m3d1t10n前两天看到phithon大大在乌云发的关于ThinkPHP的漏洞,想看看是什么原因造成的。可惜还没有公开,于是就自己回来分析了一下。0x00官方补丁(DB.class.php parseWhereItem($key,$val))注意红色框框起来的部分0x01分析PHPp...
分类:
Web程序 时间:
2015-01-01 22:31:54
阅读次数:
772
缓冲区溢出攻击
缓冲区溢出(Buffer Overflow)是计算机安全领域内既经典而又古老的话题。随着计算机系统安全性的加强,传统的缓冲区溢出攻击方式可能变得不再奏效,相应的介绍缓冲区溢出原理的资料也变得“大众化”起来。其中看雪的《0day安全:软件漏洞分析技术》一书将缓冲区溢出攻击的原理阐述得简洁明了。本文参考该书对缓冲区溢出原理的讲解,并结合实际的代码实例进行验证。不过即便如此,完成...
分类:
其他好文 时间:
2015-01-01 16:04:42
阅读次数:
216
随着移动互联网的发展和智能手机的普及,基于android系统的各类app出现爆发式增长,但在增长的同时,一个不容忽视的问题越来越重要:安全。 漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误...
分类:
移动开发 时间:
2014-12-19 09:15:02
阅读次数:
184
