分类 安全工具 下的文章

一)前言静态xss检测是啥?静态xss检测相对区别于基于webkit的xss检测。 完成依靠输出点情况的检测来判断是否存在xss漏洞。那么xss漏洞用webkit(http://blog.wils0n.cn/archives/18/)来检查就好了,为什么还要加上静态xss检测呢?? 个人认为是因为基于webkit的xss检测有的时候可能检查不到:1.script标签内多重闭合的情.......

前言前几天护网杯比赛中,有一题关于Fastjson反序列化。有人在问为什么没有利用成功,而且比赛结束后的writeup也是用的JdbcRowSetImplEXP,所以简单看看原因。easy_web.png利用写了一份fastjson反序列化漏洞的漏洞代码,简单描述下如何利用。JdbcRowSetImpl先说针对JdbcRowSetImpl的漏洞利用。post提交:{"@ty.......

内容欺骗漏洞是指攻击者可以通过修改网页源代码,让访问者觉得是该功能或者该站点是可信合法的,来达到欺骗用户的目的。内容欺骗往往利用web服务的用户和组织之间建立的信任关系,意图是欺骗用户,达到钓鱼获取用户敏感信息的目的。OWASP也将也被称为内容注射或者虚拟污损,内容欺骗漏洞攻击一般是和社会工程学配合使用,这种攻击是通过利用基于代码的脆弱性和用户的信赖。在某些情况下,攻击者利用该漏洞可.......

我今天想到一个用图片传递数据的另类应用场景,分享给大家。在Android系统中,很多App为了在网页里实现一些客户端的功能,往往会在客户端开启一个本地HTTP服务。通过在网页中调用这个服务的不同接口,可以轻松实现原本无法实现的功能。本文不讨论这种做法本身,只说存在的问题:随着越来越多Web产品升级到HTTPS,通过JSONP或XHR2与HTTP服务交互就行不通了。现代浏览器(Chro.......

PyCmd使用  我这里准备了2个靶机,分别装有php与jsp的运行环境,用来模拟真实的网站服务器。为了方便,我已经把服务端木马程序放到了服务器网站目录下:php网站木马地址:http://10.0.3.13/test/p.phpjsp网站木马地址:http://192.168.10.149:8080/Test/1.jsp此时,运行PyCmd.py程序:python PyCmd.py.......

在渗透测试过程中,经常会遇到一种状况:获取到了目标服务器的shell,需要进一步开展内网渗透,然而由于各种原因无法远程登录服务器,此时内网渗透往往很难开展。使用方法[HELP] PyShell.exe [-listen(-slave)] [ip] [port] #绿色免环境版 [HELP] python PyShell.py [-listen(-slave)] [i.......

渗透测试平台类:Metasploit,这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。SET(Social-engineer-toolkit) 主要用来做社工平台,邮件伪造,dns劫持,以及office钓鱼。Cobaltstrike,目前来说最好用的针对windows的渗透平台,也是目前最牛逼的APT协同工作平台。扩展性.......

在日常的安全服务工作中,经常会遇到需要收集目标服务器系统信息的需求,例如:系统日志,中间件日志,系统信息等。收集这些信息,有助于分析服务器安全状况,也有利于被入侵后的取证分析。然而客户网络环境往往很复杂,服务器较多,系统版本也不尽相同,给手工收集带来了很多麻烦,因此便研究开发了服务器信息收集工具。功能介绍收集系统日志收集系统信息开机时间IP_MAC地址用户信息操作系统版本进程信息ho.......

修改规则文件CustomRules.jsCustomRules.js是用Jscript.NET语言写的,语法类似C#。通过修改CustomRules.js可以修改http的请求和应答,不用中断程序,还可以针对不同的url做特殊的处理。CustomRules.js文件位置Fiddler工具菜单栏:rules->CustomRules 本地电脑磁盘存放地址:C:\Documents.......

MassDNS是一款功能强大的高性能DNS stub解析工具,它可以帮助研究人员解析数百万甚至上亿个域名。在没有特殊配置的情况下,MassDNS可以利用公共可用的解析器每秒钟解析超过350000个域名。项目编译首先,使用下列命令将MassDNS源码克隆至本地目录中:git clone https://github.com/blechschmidt/massdns.git 使用cd命令.......

nc Introducenc全称netcat,是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据,功能强大。nc Installlinux/mac上默认安装nc,可在命令行下输入nc -h查看。windows下可下载nc.exe工具使用。nc Usage基本用法可以输入nc -h查看帮助:-h 查看帮助信息 -d 后台模式 -g gateway source-routin.......

安装升级rubywhatweb是用ruby开发的,因此服务器上需要安装ruby,且对版本有要求,貌似必须2.0以上(没记错的话)。目前很多服务器内置的ruby是1.8的,或者用yum install ruby安装的也是1.8的,因此需要安装或者升级版本到2.0以上才行。升级方案one(推荐)先删除原来的ruby:yum remove ruby ruby-devel 下载ruby安装包.......