资源分享-iot安全wiki,web安全wiki,app安全wiki

最新推荐文章于 2020-05-08 17:47:26 发布
最新推荐文章于 2020-05-08 17:47:26 发布
阅读量840 收藏 4
点赞数
分类专栏: 其他 文章标签: iot安全 web安全 app安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/82979338
版权

1、web安全  https://appsecwiki.com/

jwt https://appsecwiki.com/#/serversidesecurity?id=json-web-tokenjwt

   https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ 篡改算法为none/用对称算法替换非对称算法

json 劫持 https://appsecwiki.com/#/frontend?id=json-hijacking

react js https://appsecwiki.com/#/frontend?id=react-js

angular js https://appsecwiki.com/#/frontend?id=angular-js

postmessage https://appsecwiki.com/#/frontend?id=postmessage-vulnerabilities

2、物联网  iot安全 https://iotsecuritywiki.com/

iot分四块,嵌入式系统+云控制+网络+app

 

3、app安全 https://mobilesecuritywiki.com/

app安全包括 app本地安全+网络安全+业务服务安全,其他门槛较高的二进制分析+动态调试

 

4、其他

利用X-HTTP-Method-Override(用于代理中转http):put 上传shell http://www.sec-down.com/wordpress/?p=809

伪装phar文件成jpeg https://www.nc-lp.com/blog/disguise-phar-packages-as-images

  phar是php归档文件,在头部的stub部分可以放置整个jpeg文件,然后接上__HALT_COMPILER(); ?>,接着为归档内容

<?php
class TestObject {}

$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->addFromString("test.txt","test");
$phar->setStub("\xFF\xD8\xFF\xFE\x13\xFA\x78\x74 __HALT_COMPILER(); ?>");
$o = new TestObject();
$phar->setMetadata($o);
$phar->stopBuffering();

 

SQL 注入攻击ASP+IIS+MSSQL()
菜鸟要飞翔
07-08 1217
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的
网络安全专业名词解释
aixmmmlll的博客
05-16 4351
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
asp提权木马
12-31
上传的到网站webshell 代码里有注释,可以自行修改密码,横幅
怎么利用asp木马取得管理权限
u012971242的专栏
11-27 1402
前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。 其实,对很多功能强大的系统而言,拿到后台也就是拿到了一个好的后门了
ASP木马提升权限的N种方法
fireman
07-19 2929
ASP木马提升权限的N种方法Submitted by cooldiyer on 2006, July 6, 11:53 AM. 技术一、Serv-U提权    OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。先看看他的SERV-U的版本是多少,t
webshell提权与asp木马提权
weixin_34101784的博客
11-12 917
1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆 2.C:\WINNT\system3...
一个ASP木马
陈巍@人生态度
08-08 1195
一个ASP木马,采用COOKIE提交,做到没有GET产生的日志.用户验证用用Session无论是用于黑白也很安全http://www.xfocus.net/tools/200408/Nbsi2.rar
黑盟专用版原代码ASP,自己可以进行修改
07-10
"asp木马.asp"很可能是上述提到的免杀ASP后门程序的源代码文件,可以直接在服务器上运行以创建后门。"密码.txt"可能包含访问或控制这个后门程序所需的密码,或者是用于解密或加密数据的密钥。这个文件的存在提示了对...
asp无组件文件上传系统
02-24
ASP无组件文件上传系统则巧妙地规避了这些问题,它利用ASP内置的功能来实现文件上传,降低了系统的复杂性和成本。 在ASP无组件文件上传系统中,主要涉及以下几个关键技术点: 1. **表单设计**:文件上传功能通常...
SQL注入专题
巅峰测试
08-03 1848
     SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码
Web安全-一句话木马
热门推荐
道阻且长,行则将至
05-08 36万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
修改的海阳asp木马
2195的专栏
08-31 3500
111body{font-family: 宋体; font-size: 10pt}table{ font-family: 宋体; font-size: 9pt }a{ font-family: 宋体; font-size: 9pt; color: #000000; text-decoration: none }a:hover{ font-family: 宋体; color: #807123; te
巧妙配合asp木马取得后台管理权限(这个可是经典。。。自己体会我不多说了)
FreeXploiT
11-02 2041
作者:aweige    来自:中国黑客红色军团前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。其实,对很多功能强大的
MD5密码忘记破解
qq_43257509的博客
04-26 1340
1,进入登陆界面 admin 2,输入密码账号就是进不了 注意左下角出现的 /chklogin.asp 非常关键 3,进入/admin下的chklogin.asp 查看源代码 注意到这个页面 <% dim username,password,sql,rs password1=trim(request(“password1)) username=trim(request(“username”...
ASPX一句话木马--终极版&详细分析(ASP-EXECUTE VS ASPX-EVAL)
Quantum Intelligence
08-04 5万+
首先回顾一下以前ASP一句话的经典木马吧!"" then execute request("nonamed")%>VBS中execute就是动态运行指定的代码而JSCRIPT中也同样有eval函数可以实现,也就是说ASP一句话木马也有个版本是采用JSCRIPT的 eval的!网上也有例子我就不多说了!.....然后解析语言终究发展成为中间代码例如java .net  动态执行也就不存在
一句话***(webshell)是如何执行命令的
weixin_34381687的博客
06-16 1962
      在很多的***过程中,***人员会上传一句话***(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话***到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。首先我们先看一个原始而又简单的php一句话***。&lt;?php @eval($_POST['cmd']); ?&gt;看到这里不得不赞美前...
基于Asp.net Core实现高效权限管理系统
Asp.net Core 权限管理系统是指利用Asp.net Core这一现代.NET框架开发的,专门用于管理用户权限的后端系统。这种系统在企业信息化管理和网络应用中起着非常重要的角色,它可以帮助企业更好地控制不同用户对系统资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值