在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁。 有关XXE的相关知识,可以查看安全脉搏站内的另一篇文章《未知攻焉知防——XXE漏洞攻防》。 漏洞描述 Oracle数据库的XML解析器模块容易受到X ...
分类:
数据库 时间:
2017-11-23 08:35:57
阅读次数:
325
随着移动互联网的快速发展,HTML5迅速崛起,我们的生活的方方面面都被HTML5渗透着。HTML5在PC端、移动端上均应用广泛,被称为Web的未来。而随着Google正式停止支持Swiffy,HTML5将独占谷歌平台。而微软、苹果等国外浏览器厂商也鼓励大家转投HTML5,因为HTML5在安全、性能、 ...
分类:
Web程序 时间:
2017-11-22 14:25:25
阅读次数:
185
0x00:简介 DVWA是渗透测试网站,想研究安全的兄弟们可以安装在自己的虚拟机中,没事的时候攻破着玩,老黑最近在玩这个,当然也遇到了坑爹的 事情,话不多说,直接开始! 0x01:环境 主机A:自己的主机 主机B:搭建了XAMPP+DVWA环境(步骤参考),IP:192.168.162.128 0x ...
分类:
其他好文 时间:
2017-11-21 14:34:53
阅读次数:
206
文章首发个人博客:http://zmister.com/archives/179.htmlPython爬虫、GUI开发、渗透测试、机器学习,尽在http://zmister.com/在写爬虫的过程中,出于系统环境或是效率的问题,我们经常使用PhantomJS作为Selenium操纵的浏览器webdriver,而不是直接使用Chrome或FireFox的webdri..
分类:
Web程序 时间:
2017-11-21 10:45:59
阅读次数:
1821
1.webshell大多以动态脚本出现,也可称为网站的后面工具 2.webshell就是一个asp或php的木马后门 3.webshell可穿越服务器的防火墙,由于与被控制的服务器和控制主机交换数据都是以80端口传递的,因此不会被防火墙屏蔽 4.webshell一般不会再系统日志中留下痕迹,只会在w ...
分类:
Web程序 时间:
2017-11-21 01:15:45
阅读次数:
233
作为公司内部网络安全建设的基础环节,资产的收集以及对应的管理,尤其是漏洞管理,都是网络安全建设的基础。 资产收集第一步--已入网设备的收集: (1)收集手段:根据历史登记记录查询或者使用扫描方式对网络环境内部进行活跃主机探测。 (2)收集目标:覆盖所有已入网设备,包括云、IoT设备等,建立相应的库表 ...
分类:
其他好文 时间:
2017-11-20 20:27:50
阅读次数:
128
1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user2.当提权成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp ...
分类:
Web程序 时间:
2017-11-20 13:24:05
阅读次数:
220
什么是 SQL 注入速查表? SQL注入速查表是可以为你提供关于不同种类 SQL注入漏洞 的详细信息的一个资源。这份速查表对于经验丰富的渗透测试人员,或者刚开始接触 Web应用安全 的初学者,都是一份很好的参考资料。 关于这份 SQL 注入速查表 这份 SQL 速查表最初是 2007 年时 Ferr ...
分类:
数据库 时间:
2017-11-20 13:17:48
阅读次数:
170
项目地址:https://github.com/zerosum0x0/koadic 下载后打开并安装所需的包 安装完成后启动程序 输入use和空格然后连按两下Tab键查看模块 stager开头的模块是用来反弹主机的,implant开头的模块是用来对反弹的主机进行操作 选择stager/js/disk ...
在这10年中,几乎所有行业都或多或少的受到大数据的影响。科技渗透到各个领域,并且已经成为每个处理单元的必要元素。谈到IT行业,具体来说,软件和自动化是最基本的术语,并且用于处理循环的每个阶段。 毫无疑问,各行各业因为大幅爆发的数据而正变得蒸蒸日上。在这10年中,几乎所有行业都或多或少的受到这一巨变的 ...
分类:
其他好文 时间:
2017-11-17 16:28:33
阅读次数:
144
