- 博客(392)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 被动扫描神器GourdScan搭建的正确姿势
GourdScan是一个分布式SQL漏洞扫描器,采用Python+PHP开发,后端采用SQLMAP。通过浏览器代理方式获取请求进行漏洞检测。神器用起来简单但环境搭建还是有点麻烦,花了一晚上时间终于运行成功。 现把完整搭建过程分享如下: 操作系统: windows7工具准备:phpStudy:http://rj.bai
2016-09-15 14:30:27
3398
转载 SEOer需要了解的十大百度搜索技巧
作者简介PeterKirk:益族科技有限公司技术总监、中国网络红军创建人、涅槃网络安全研究院核心会员。在应急响应、等级保护、分险评估、APP安全检测、程序设计、领域有一定的经验,熟悉代码审计、渗透测试等Web安全领域。现同时担任U安全技术总监。前言大家都知道搜索方法正确后可以大大提高搜索效率,会使大家的工作既省心又省力!网上针对百度搜索技巧的方法也很多,但是PeterKirk在这里做一个总结,总结
2016-07-29 23:50:01
917
转载 常用正则表达式总结
一、校验数字的表达式1 数字:^[0-9]$2 n位的数字:^\d{n}$3 至少n位的数字:^\d{n,}$4 m-n位的数字:^\d{m,n}$5 零和非零开头的数字:^(0|[1-9][0-9])$6 非零开头的最多带两位小数的数字:^([1-9][0-9])+(.[0-9]{1,2})?$7 带1-2位小数的正数或负数:^(-)?\d+(.\d{1,2})?$8
2016-07-29 20:35:08
842
转载 在Java里处理文件的技巧
写这篇Blog,主要是因为看到太多的凌乱的,不安全的处理文件的代码了。甚至可以说每个项目都会有人喜欢写自己的一些FileUitl。。下面介绍一些利用JDK7标准库来灵活处理文件的方法。实用的工具类,Path,Paths,Files,FileSystem 有一些很灵活的处理方法: [java] view plain copy
2016-04-29 09:26:48
743
转载 J2EE中容器:WEB容器、EJB容器
J2EE中容器充当中间件的角色。主要的容器包括:WEB容器:给处于其中的应用程序组件(JSP,SERVLET)提供一个环境,使JSP,SERVLET直接更容器中的环境变量接口交互,不必关注其它系统问题。主要有WEB服务器来实现。例如:TOMCAT,WEBLOGIC,WEBSPHERE等。该容器提供的接口严格遵守J2EE规范中的WEB APPLICATION 标准。我们把遵守以上标准的W
2016-03-01 10:16:13
1130
转载 Memcache 查看列出所有key方法
今天在做一个Memcache的session测试,但是在测试的过程中,发现Memcache没有一个比较简单的方法可以直接象redis那样keys *列出所有的Session key,并根据key get对应的session内容,于是,我开始查找资料,翻出来的大部分是一些memcache常用命令等,但是对列出key的办法,讲解却不多,于是来到google,找到了一个国外的资料 具
2015-12-30 16:37:24
787
转载 如何碰撞两个功能不一样,但 MD5 值一样的程序的方法 + 源码公布
关于如何碰撞两个功能不一样,但 MD5 值一样的程序的方法。如果您还没有阅读过之前的内容,请先查阅以下链接:使用 MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单指定MD5值碰撞,指定MD5碰撞免杀,修改木马MD5值和系统文件一致当时我在帖子里写的是:用到的工具如下:1、MD5 碰撞发生器 v1.5 (MD5 Collision Ge
2015-12-29 17:02:38
4729
转载 MD5 Collision Generator(根据王小云教授的算法写的MD5碰撞的程序[c源代码])
/* MD5 Collision Generator by Patrick Stach [email protected]>* Implementation of paper by Xiaoyun Wang, et all.** A few optimizations to make the solving method a bit more deterministic**
2015-12-29 16:23:25
3447
1
转载 最全的常用正则表达式大全
很多不太懂正则的朋友,在遇到需要用正则校验数据时,往往是在网上去找很久,结果找来的还是不很符合要求。所以我最近把开发中常用的一些正则表达式整理了一下,在这里分享一下。给自己留个底,也给朋友们做个参考。1校验数字的表达式数字:^[0-9]*$n位的数字:^\d{n}$至少n位的数字:^\d{n,}$m-n位的数字
2015-12-28 18:46:20
677
转载 揭秘华为第二届网络安全沙龙——问道
昨天(10月30号),华为第二届安全沙龙在深圳百草园召开。本次沙龙虽然只邀请了100多人,但包括了四十多个企业,大家都对安全非常重视,希望加强交流。华为信息安全部部长陆焱致辞:这是一个最坏的年代,也是最好的年代。坏第一,我们面临的环境有了很大的变化,从传统安全时代已经进入了社交化、云化、移动化的时代,这是一个很大的挑战。第二,要防护的越来越多,不仅仅是企业本
2015-11-23 09:17:12
2738
转载 基于行为分析来发现"未知的Webshell"
一、 “已知”or “未知”已知的已知,已知的未知,未知的未知,这个最近安全行业也谈的比较多,目前圈内热炒的“威胁情报”,其实应该属于“已知的未知”,对本地来说是未知威胁,其实是别的地方已经发生过的威胁。真正的“未知的未知”怎么办,虽然从没发生过的威胁首次在我们身上发生的概率很小很小,但是目前好多攻击都是窃取管理员的身份或者合法用户身份去做一些貌似合法的操作,这些内部发生的“异常”行为,没
2015-11-23 09:16:36
2326
转载 RFID安全十大问题与威胁
和其它安全设备一样,RFID设备的安全性并不完美。尽管RFID设备得到了广泛的应用,但其带来的安全威胁需要我们在设备部署前解决。本文将主要介绍几个RFID相关的安全问题。1.RFID伪造根据计算能力,RFID可以分为三类:1.普通标签(tag)2.使用对称密钥的标签3.使用非对称密钥的标签其中,普通标签不做任何加密操作
2015-11-23 09:15:26
2069
转载 DDOS攻击与防御
http://mp.weixin.qq.com/s?__biz=MzAxNDM3NTM0NQ==&mid=401062957&idx=3&sn=a41268b042c566329d2ae00fd7b0a466&scene=0#wechat_redirect
2015-11-23 09:14:17
687
转载 用实例给新手讲解RSA加密算法
图为 RSA公开密钥算法的发明人,从左到右Ron Rivest, Adi Shamir, Leonard Adleman. 照片摄于1978年 RSA加密算法是最常用的非对称加密算法,CFCA在证书服务中离不了它。但是有不少新来的同事对它不太了解,恰好看到一本书中作者用实例对它进行了简化而生动的描述,使得高深的数学理论能够被容易地理解。我们经过整理和改写特别推荐给大家阅读,希望能够对时
2015-11-21 19:04:37
1183
转载 乌云首届互联网金融沙龙实录
http://news.wooyun.org/70357a3632564a524732376c58516a414d48396d61773d3d#rd
2015-11-21 12:11:00
583
转载 360护心镜:XSS攻击与前端主动防御解决方案
帅气如你,一定会戳上面蓝字关注我们的!福利在最下方360护心镜是一款XSS前端主动防御的工具。通过监控页面中的js行为、DOM元素的创建来动态识别、阻断XSS行为,同时可进行预警,方便安全人员实施应急响应。0x01 XSS是什么?XSS是黑客通过前端网页向受害者浏览的网页中注入js脚本,从而实现攻击目的。与其它web漏洞不同,XSS并非直接攻击服务器,而是攻
2015-11-17 21:34:32
1112
转载 我家大门常打开——家用路由器安全探析
http://mp.weixin.qq.com/s?__biz=MzAwNTYwMjM3Mw==&mid=400416723&idx=1&sn=c127fca18c008ffc3c7beb7bad0de5fb&scene=0#wechat_redirect
2015-11-16 20:05:47
479
转载 javax.net.ssl.SSLException: hostname in certificate didn't match:
抛出的错误是这样的:[plain] view plaincopyprint?javax.net.ssl.SSLException: hostname in certificate didn't match: != OR OR at org.apache.http.conn.ssl.AbstractVerifier.ver
2015-11-14 23:47:11
5108
转载 Struts2 验证码图片生成实例
Step 1.随机验证码一步一步来,要生成验证码图片,首先要有验证码,然后才能在画在图片上。为了能够灵活控制验证码,特别编写了SecurityCode类,它向外提供随机字符串。并且可以控制字符串的长度和难度。SecurityCode类中提供的验证码分三个难度,易(全数字)、中(数字+小写英文)、难(数字+大小写英文)。难度使用枚举SecurityCodeLevle表示,避免使用1、2、3这样没
2015-11-06 15:58:00
422
原创 自动识别编码读取和写入文件
public class FileTraning {/*** 判断文件的编码格式* @param fileName :file* @return 文件编码格式* @throws Exception*/public static String codeString(String fileName) throws Exception{BufferedInputStr
2015-10-29 10:17:26
1356
转载 我是如何从3亿IP中找到CISCO后门路由器的
接到某单位通知让查找中国具有SYNful Knock后门的CISCO路由器,按照曼迪安特分析的报告称中国已经发现3台具有SYNful Knock后门的路由器,如何快速从全国3亿IP地址中快速查找出3个IP地址难度还是十分的大啊,而我经过查找发现中国已经有4个IP被植入了后门,现将检测过程分享给大家。一、获取IP地址为保证中国IP的全面性,从apnic重新获取亚洲区域所分配到的I
2015-10-29 09:22:50
1016
转载 XVWA黑客靶场发布
简介Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势。我们建议将这个靶场部署在本地服务器来提升你的能力。当然了学习并掌握这些姿势后,还望各位能够积极的在评论区交流经验,帮助更多的朋友。XVWA中包含的漏洞SQL Injection – Error Based
2015-10-26 19:22:10
2165
转载 APT组织PawnStorm 0Day如何绕过Java点击播放保护
几个月以前,趋势科技发现了APT组织Pawn Storm利用之前未经披露的Java漏洞(CVE-2015-2590)进行攻击。在那之后,我们注意到一个被用于染过Java点击播放(click-to-play)保护的独立漏洞。第二个漏洞(CVE-2015-4902)现在已经在Oracle定期的季度更新中被修复,并将此归功于趋势科技的发现。FreeBuf百科:Click-to
2015-10-26 14:34:31
609
转载 如何配置使用 HTTP 严格传输安全(HSTS)
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
2015-10-25 22:24:51
13837
转载 自学成才的黑客(安全研究员)是从哪学到那些知识的?
http://www.zhihu.com/question/23073812/answer/23563575?utm_source=weibo&utm_medium=weibo_share&utm_content=share_answer&utm_campaign=share_button
2015-10-25 14:14:40
917
转载 安全盒子装B公开课: 装B架构师-K0r4dji
面试官:渗透测试入手知识点:一、常见数据库Oracle、DB2、SqlServer、MySql、Access ..等二、前端基础JavaScript、CSS、HTML、ActionScript、Ajax、Jquery..三、TCP/HTTP ..等协议TCP、UDP、STMP、ICMP、ARP、HTTP、SSL ...等四、常见的上传/解
2015-10-25 13:50:00
2618
转载 如何清除windows入侵的记录
安全日志 系统日志 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%s
2015-10-25 13:13:26
2077
转载 windows2003下创建永远的隐藏帐户
防止黑客侵入你正在使用的Windows系统当黑客入侵一台主机后,会想方设法保护自己的“劳动成果”,因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密。 在隐藏系统账户之前,我们有必
2015-10-25 00:41:23
907
转载 一个Filter配置多个url-pattern
最近做项目遇到一个Filter需要配置多个url-pattern,上网查了下资料,经测试,现总结下 一、完全错误的方式 Java代码 authority class>com.util.AuthorityFilterclass> authority /pages/cmm/*;/pages/
2015-10-23 10:45:03
5397
转载 Struts2漏洞修复到2.3.15.1版本步骤
1.删除的jar包jsonplugin-0.30.jar(此jar由struts2-json-plugin-2.3.15.1.jar代替,如果以前采用过其他jsonplugin插件的话)2.添加的jar包commons-lang3-3.1.jarstruts2-json-plugin-2.3.15.1.jar3.替换的jar包将原有低版本的ognl-x.x.x.ja
2015-10-15 12:37:59
742
转载 struts2 漏洞 S2-016、S2-017修补方案
官方描述:S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016S2-017:https://cwiki.apache.org/confluence/display/WW/S2-017 ============================== 好了,下面是正题 ====================
2015-10-14 13:56:09
3511
1
转载 一句话添加root账户
useradd -p 0`openssl passwd -1 -salt 'abc' cqrdpass` -u -o -g root -G root -s /bin/bash -d /usr/bin/cqrd cqrduseradd 添加用户useradd -p 0`openssl passwd -1 -salt 'abc' cqrdpass` abc是盐值,可以随便填写,cq
2015-10-13 11:07:34
1247
转载 谈渗透测试方法和流程
1,分析目标网站内容及功能 (1) 首先确定网站采用何种语言编写.或者是否有混用的情况.此处可以通过查看网站源文件,观察网站链接,捕获提交请求等方式获取. (2) 爬行网站目录,使用工具对网站目录进行爬行,可以辅助上一步让结果更加精准.将爬行结果存档,如果可以,此处应分析出网站是否使用通用程序,如果是,记录下来.进行下一步. (3) 根据上一步的爬行结
2015-10-10 16:46:05
735
转载 RPM方式安装MySQL5.6
RPM方式安装MySQL5.6a. 检查MySQL及相关RPM包,是否安装,如果有安装,则移除(rpm –e 名称)1[root@localhost ~]# rpm -qa | grep -i mysql2mysql-libs-5.1.66-2.el6_3.x86_64
2015-10-08 17:02:45
357
转载 Heartbleed 实战:一个影响无数网站的缓冲区溢出漏洞
作者: 李博杰昨天 OpenSSL 爆出了名为 Heartbleed 的重大安全漏洞(CVE-2014-0160),通过 TLS 的 heartbeat 扩展,可以读取运行 HTTPS 服务的服务器上长达 64 KB 的内存,获取内存中可能存在的敏感信息。由于这个漏洞已经存在三年,Debian stable (wheezy) 和 Ubuntu 12.04 LTS、13.04、13.10 等
2015-10-03 17:38:07
867
转载 context,listener,filter,servlet加载顺序
web.xml加载过程(步骤):1.启动WEB项目的时候,容器(如:Tomcat)会去读它的配置文件web.xml.读两个节点: 和 2.紧接着,容器创建一个ServletContext(上下文),这个WEB项目所有部分都将共享这个上下文.3.容器将转化为键值对,并交给ServletContext.4.容器创建中的类实例,即创建监听.5.在监听中会有co
2015-09-21 11:22:57
440
转载 CSRFGuard 3 Token Injection
OverviewOWASP CSRFGuard implements a variant of the synchronizer token pattern to mitigate the risk of CSRF attacks. In order to implement this pattern, CSRFGuard must offer the capability to plac
2015-09-19 16:31:59
1395
转载 org.apache.catalina.util.DefaultAnnotationProcessor cannot be cast to org.ap解决方案
是tomcat的lib文件夹jar包和项目的lib文件下的jar包冲突了 Tomcat中catalina.jar和jasper.jar都有AnnotationProcessor接口,所以运行时,就出错了:java.lang.ClassCastException: org.apache.catalina.util.DefaultAnnotationProcessor。
2015-09-17 10:47:17
848
拼多多9块9手表刷机固件和教程.zip
2022-09-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人