白帽
文章平均质量分 79
白鹭鹭鹭
这个作者很懒,什么都没留下…
展开
-
某项目前端js抓包解密
js抓包解密原创 2022-02-21 13:33:04 · 2611 阅读 · 0 评论 -
JNDI漏洞利用探索
最近学习了师傅寻找的一些JNDI漏洞的利用链受益匪浅,自己也尝试关于JNDI漏洞利用做一些挖掘,目前JNDI在利用过程我想到了两个问题。测试每一个JNDI Bypass 利用链都需要手动更改URL很不方便,能否我去请求一个地址,让目标将我所有的链跑一遍? JNDI利用过程中可以通过反序列化利用,能否自动化探测反序列化利用链?自动测试Bypass 利用链为了让这种方式更加通用,我们首先考虑的是JDK原生的实现ObjectFactory的类,那么我注意到了下面几个类。com.sun.jndi.r原创 2022-02-19 16:47:14 · 1241 阅读 · 0 评论 -
快来看看你的哪些秘密已经被大家看到了
这个就像以前的社工库,简单来说就是把全网泄露出来的数据都统一在一起,然后查有没有你的信息,数据库泄露并不是小公司才会发生,相反大公司也经常发生,而且受害的往往是上亿用户,比如最近就有个万豪酒店泄露了520万用户的数据。这个是火狐出品的,不过只能查泄露的数据有没有你的,不能查看泄露的密码是什么,如果找到有你泄露的,赶紧去改密码吧。如果能查看到密码就变成社工库了,这是国家明显禁止的。不过缺点也很明显,只能查邮箱,毕竟常用的还有手机号,用户名,qq号等。这个工具的地址是:Firefox Mon原创 2022-02-19 16:43:45 · 583 阅读 · 0 评论 -
HTTP协议和HTTPS协议的那些事
文章目录 HTTPS VS HTTP HTTPS=HTTP+加密+证书+完整性保护 加密 对称加密 非对称加密 混合加密 证书 完整性保护 HTTPS并不能取代HTTP SSL是把双刃剑 HTTPS的遗憾之处 HTTPS VS HTTP计算机网络 (二) 应用层 :HTTP协议详解在之前的文章中介绍了HTTP协议,虽然从中了解了他优秀的一面,但是也能看到他许多的不足。由于其本身通信使用明文,原创 2022-02-19 16:33:36 · 78 阅读 · 0 评论 -
网站后门能做什么?
今天来聊一聊服务器安全的问题。这几天一直在着手服务器攻防问题,修复一些漏洞,写代码的人真的要注意安全问题。千万不要相信用户的输入!今天用PHP 代码展示一下危险。测试准备为了模拟,我在本地搭建了服务器环境,展示一个正常网站如何被攻击。首先修改电脑本地host文件。改了之后就可以用test.com虚拟域名访问本地文件了。文件目录在“C:\Windows\System32\drivers\etc”网站目录很简单,如下:在网站入口中,引用了数据库配置文件,然后输出一句话来模拟网站首页。原创 2022-02-18 19:15:54 · 670 阅读 · 0 评论 -
一些不为人知的浏览器使用小秘籍
搜索引擎已经成为上网必不可少的工具之一,聪明的黑客们发现,搜索引擎也能成为发动网络攻击的工具。Google Hacking,原指利用Google搜索引擎搜索信息来进行入侵的技术和行为,如今已不再局限于Google,泛指利用各种搜索引擎实施黑客攻击的技术和行为。黑客们是如何使用搜索引擎,发动攻击的呢?在搜索引擎的搜索框内,用户键入关键词,回车后便会展示自己想要的结果。实际上,这个看似简单的搜索框,却暗藏玄机。除了输入关键词外,搜索引擎还会提供多种语法,帮助用户提高搜索效率。例如搜索某一本网络小说原创 2022-02-18 13:29:36 · 127 阅读 · 0 评论 -
一次前端安全测试小计
一次前端安全测试小计原创 2022-02-17 16:41:06 · 582 阅读 · 0 评论 -
分析CVE-2018-18557与复现
分析CVE-2018-18557与复现原创 2022-02-17 15:52:16 · 554 阅读 · 0 评论 -
深入分析CVE-2021-4034及漏洞复现
深入分析CVE-2021-4034及漏洞复现原创 2022-02-17 14:32:48 · 1826 阅读 · 0 评论