勿忘初心!Future filled with hope!
Python

30xdirscan利用存在目录重定向特性爆破目录

30xdirscan利用存在目录重定向特性爆破目录
撸的站多了,有时会遇到一些特殊情况,现有的一些工具无法进行目录爆破。 比如,一种情况:所有请求中,目标url只要不是存在的文件,全部返回404,包括存在的目录,也会返回404。 另一种情况:所有请求中,目标url只要不是存在的文件,全部跳转到统一页面。 但是,仔细观察(抓包)你会...

KevAxe 6个月前 (03-05) 1125℃ 0评论 1喜欢

Python

HTML表单爆破-突破hidden input随机码校验

HTML表单爆破-突破hidden input随机码校验
当一个网站的登录页面没有任何限制时,我们通常会使用BurpSuite的Intruder功能进行暴力破解。但是当目标站点的登录页面做了一些防暴力破解的措施时,就需要我们自己去写脚本去突破这些防护措施了。 在一次渗透测试过程中,目标站点登录页面在每次访问时都会随机分配一个隐藏域hid...

KevAxe 6个月前 (03-05) 1244℃ 0评论 1喜欢

代码审计

PHP漏洞全解(二)-命令注入攻击

PHP漏洞全解(二)-命令注入攻击
本文主要介绍针对PHP网站常见的攻击方式中的命令攻击。Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。使用系统命令是一项危险的操作,尤其在你试图使用远程数据...

KevAxe 9个月前 (11-25) 1457℃ 0评论 2喜欢

代码审计

PHP漏洞全解(一)-PHP网站的安全性问题

PHP漏洞全解(一)-PHP网站的安全性问题
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。 针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(Command Inje...

KevAxe 9个月前 (11-22) 953℃ 0评论 3喜欢

代码审计

PHP程序的常见漏洞攻击分析

PHP程序的常见漏洞攻击分析
综述:PHP程序也不是固若金汤,随着PHP的广泛运用,一些黑客们也在无时不想找PHP的麻烦,通过PHP程序漏洞进行攻击就是其中一种。在此,我们将从全局变量、远程文件、文件上载、库文件、SESSION文件、数据类型和容易出错的函数这几个方面分析PHP的安全性。 一、如何通过全局变量...

KevAxe 10个月前 (11-17) 1511℃ 0评论 2喜欢

SQL注入

学注入哪家强,推荐习科《SQL注入自学指南》

学注入哪家强,推荐习科《SQL注入自学指南》
发现博客里居然没有SQL注入的文章,其实经过这么多年了,网上有一大堆好文章,实在没有自己写的必要(一是懒,二是大牛太多,写不过人家,三是懒)。可是东西太多,有些初学者容易乱,不知道看哪个好。 这里推荐一本来自习科的《SQL注入自学指南》,自己没看过的东西我是不会乱发的。这本书通过...

KevAxe 12个月前 (09-14) 1861℃ 0评论 3喜欢

安全工具

暴力破解工具Medusa参数说明及使用

暴力破解工具Medusa参数说明及使用
0x00 Medusa简介 和Hydra一样,Medusa也是一款强大的暴力破解工具,对比Hydra来讲,在开启同样的线程数的情况下,开启的线程越多,速度优势越大。Medusa的作者对破解速度和所支持的服务与Hydra、Ncrack做了对比,详情请访问官网:http://foo...

KevAxe 1年前 (2015-08-28) 2194℃ 0评论 2喜欢