- 博客(63)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 yii framework Url: hide index.php
Maybe it looks simple, but some time ago I need some time to find a solution of this case. I finally got it, and I want to share that I also experienced such cases. So that it can make reference.Nei
2013-03-28 14:24:57
1205
1
转载 五大免费企业网络入侵检测工具(IDS)
Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位。虽然Snort“称霸”这个市场,但也有其他供应商提供类似的免费工具。很多这
2013-03-28 10:13:25
16747
转载 黑帽大会:有150种方法可绕过Web应用防火墙!
一个新的工具可测试Web应用防火墙(WAF)是否存在漏洞,可以被150多种协议级避让技巧绕过,这是黑帽USA 2012大会上所披露的一个惊人事实。安全厂商Qualys的工程经理,也是ModSecurity WAF的初创者Ivan Ristic一直在研究这一工具及其创建过程。WAF旨在保护Web应用免受来自已知攻击类型,如SQL注入等的攻击,通常用于Web网站。WAF的功能主要是拦截来自客户
2013-03-28 10:08:26
1124
转载 Linux下暴力破解工具Hydra详解
一、简介Number one of the biggest security holes are passwords, as every password security study shows. Hydra is a parallized login cracker which supports numerous protocols to attack. New modules are
2013-03-27 13:10:23
11822
转载 Big Switch开源SDN软件,廉价交换机时代到来
Big Switch联合创始人Kyle Forster和Guido Appenzeller曾供职思科公司Big Switch最近开源了SDN软件——Switch Light,用户可以自行搭建和轻松管理运行在标准硬件上的虚拟交换机,这对思科和Juniper等传统专用网络硬件厂商构成了巨大的威胁。从Intel Capital手中拿到650万美元新一轮融资后,Big Switch Network
2013-03-27 10:54:45
1879
转载 spring 的单例模式
singleton---单例模式 单例模式,在spring 中其实是scope(作用范围)参数的缺省设定值每个bean定义只生成一个对象实例,每次getBean请求获得的都是此实例单例模式分为饿汉模式和懒汉模式 饿汉模式spring singleton的缺省是饿汉模式:启动容器时(即实例化容器时),为所有spring配置文件中定义的bean都生成一个实例
2013-03-27 10:04:58
935
转载 mongodb – SSJI to RCE
Lucky discoveryTrying some server side javascript injection in mongodb, I wondered if it would be possible to pop a shell.The run method seems good for this :> run("uname","-a")Sun Mar 24 07:
2013-03-27 08:26:35
1168
转载 让 Nginx 支持 WAF 防护功能实战
ngx_lua_waf 安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf---------------------------------------------------------------------------------------------------------------------
2013-03-26 18:28:07
5496
1
转载 Discuz防注入函数绕过方法分析及没用心的修复补丁
http://www.freebuf.com/articles/web/8038.html分析人:晴天小铸,Seay分析时间:2013年03月20日discuz介绍:Crossday Discuz! Board(以下简称 Discuz!,中国国家版权局著作权登记号 2006SR11895)是康盛创想(北京)科技有限公司(英文简称Comsenz)推出的一套通用的社区论坛软件系统,用户
2013-03-26 12:49:27
887
转载 MongoDB服务器端的JavaScript注入
安全研究者agixid在MongoDB数据库2.2.3版本上发现一个安全漏洞,并且表示Metasploit利用payload正在开发当中。该漏洞主要是MongoDB不正确的使用SpiderMonkey Javascript的NativeHelper函数,导致可以注入代码或缓冲区溢出执行任意代码。以下为研究者带来的一些分析。首先在MongoDB中尝试一些服务器端的JavaScript注入,
2013-03-26 12:46:47
2348
转载 How to Audit the Top 10 Oracle E-Business Suite Security Risks
http://www.youtube.com/watch?v=5iIOmCssG8M
2013-03-24 09:58:11
915
转载 fwknop: Single Packet Authorization and Port Knocking
http://www.cipherdyne.org/fwknop/
2013-03-22 18:20:40
955
转载 Mongodb - Security Weaknesses in a typical NoSQL database
Over the last year or so, I’ve noticed 2 ports appearing more frequently during internal penetration tests, namely 27017/tcp and 28017/tcp. These can be easily missed if full port scans are not perfor
2013-03-22 09:33:40
952
转载 渗透测试技巧分享
http://www.freebuf.com/articles/system/7331.html1.AT時提示綁定句柄無效經常碰到的這個問題,百度搜索的全部都沒一個能解決的。正確的解決辦法是先在地址欄\\1.1.1.1 得到對方機器名,例如ADMINPC,然後,CMDecho 1.1.1.1 ADMINPC >>C:\windows\system32\drivers\etc\h
2013-03-21 09:25:16
1052
转载 开源堡垒机参考
http://0xcc.net/ttyrec/index.html.en这是一个与 script 有着异曲同工之妙的小工具。ttyrec 是一个 tty 控制台录制程序,其所录制的数据文件可以使用与之配套的 ttyplay 播放。不管是你在 tty 中的各种操作,还是在 tty 中耳熟能详的软件,都可进行录制。 使用 ttyrec 进行录制的情形ttyrec 当前版本为 1.0.8
2013-03-20 13:35:22
5070
转载 Google Maps Javascript API V3 Reference
https://developers.google.com/maps/documentation/javascript/reference?hl=zh-cn
2013-03-20 13:27:09
766
转载 google-authenticator
http://code.google.com/p/google-authenticator/downloads/list
2013-03-20 12:31:10
654
转载 pyotp
http://sourceforge.net/directory/developmentstatus:alpha/language:python/os:windows/license:python/freshness:recently-updated/
2013-03-20 11:51:07
2121
转载 分布式海量日志采集、聚合和传输系统:Cloudera Flume
导读:本文介绍了分布式海量日志采集、聚合和传输系统Cloudera Flume相关内容,Flume是Cloudera提供的日志收集系统,Flume支持在日志系统中定制各类数据发送方。关键词:FlumeCloudera 日志收集 分布式数据库
2013-03-20 11:49:34
2772
转载 Yes Small Companies Can – and Should – Build Secure Software
"For large software companies or major corporations such as banks or health care firms with large custom software bases, investing in software security can prove to be valuable and provide a measurabl
2013-03-20 09:41:55
764
转载 Hacking Java Applications using JavaSnoop
Introduction:We are all aware of tools like Burp, Paros, WebInspect, etc… for intercepting web-based traffic and also for automating the security testing process. However, the same is not true for
2013-03-20 09:37:57
1194
转载 OAuth2 Security
Right now there are many good “discussions” on OAuth2 security happening. Some are constructive, some rather destructive – and some simply hack one or the other website to prove the point.In my opin
2013-03-20 09:36:15
923
转载 xssf-cross-site-scripting-framework-v30
The Cross-Site Scripting Framework (XSSF) is a security tool designed to turn the XSS vulnerability exploitation task into a much easier work. The XSSF project aims to demonstrate the real dangers of
2013-03-20 09:23:59
979
转载 Open Source CDN - Content Distribution Networks
http://opensourcecdn.blogspot.com/
2013-03-20 09:17:27
884
转载 抢滩“m-commerce” 移动电子商务
http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_4.asp?filename=2013_jsj_ecom_130124
2013-03-19 18:28:20
586
转载 风险评估系统OpenVAS配置使用教程说明
penVAS是一款免费的开放式风险评估工具,可以检测远程系统和应用程序中的安全问题。最初作为Nessus一个子工具,被称为 GNessUs。其特点就是允许继续免费开发。最早是由Portcullis Computer security公司的渗透测试人员发布的,之后由Slashdot网站的Tim Brown发布。用户需要一种自动测试的方法,并确保正在运行一种最恰当的最新测试。OpenVAS包括一个
2013-03-19 18:19:07
23273
转载 How I Hacked Any Facebook Account...Again!
This is my second post regarding Facebook OAuth Vulnerabilities,just to clarify there is no need for any installed apps on the victim's account, Even if the victim has never allowed any applicatio
2013-03-19 09:19:17
1860
转载 JS客户端RSA加密,Java服务端解密
http://www.oschina.net/code/snippet_1611_4789http://sosuny.iteye.com/blog/793327
2013-03-18 19:20:14
7195
转载 快速构建实时抓取集群
定义:首先,我们定义一下定向抓取,定向抓取是一种特定的抓取需求,目标站点是已知的,站点的页面是已知的。本文的介绍里面,主要是侧重于如何快速构建一个实时的抓取系统,并不包含通用意义上的比如链接分析,站点发现等等特性。在本文提到的实例系统里面,主要用到linux+mysql+redis+django+scrapy+webkit,其中scrapy+webkit作为抓取端,redis作为链
2013-03-15 18:24:05
609
转载 Statement的sql注入问题
SQL注入,PreparedStatement和Statement* 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。* PreperedStatement(从Statement扩展而来)相对Statement的优点: 1.没有SQL注入的
2013-03-15 15:19:00
2147
转载 Redis复制与可扩展集群搭建
Redis复制流程概述Redis的复制功能是完全建立在之前我们讨论过的基于内存快照的持久化策略基础上的,也就是说无论你的持久化策略选择的是什么,只要用到了Redis的复制功能,就一定会有内存快照发生,那么首先要注意你的系统内存容量规划,原因可以参考我上一篇文章中提到的Redis磁盘IO问题。Redis复制流程在Slave和Master端各自是一套状态机流转,涉及的状态信息是:Slave
2013-03-13 13:03:19
629
转载 Nginx源码剖析之内存池和内存管理
Nginx(发音同 engine x)是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引擎Rambler(俄文:Рамблер)使用。 其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,目
2013-03-13 09:39:38
729
转载 List Of Vulnerability Web Application on Hands for Practical Experiment
Internet-accessibleGoogle GruyereThis one is from Google and you can do it both online and as a local install.zero.webappsecurity.com (HP)I happen to know this one is o.k. to scan.demo.tes
2013-03-13 09:26:13
894
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人