-
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
简介 本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffix and prefix )注入到数据库。本文将更进一步,讨论SQL盲注,如果读者没有任何相关知识储备,建议先去wikipedia学...作者:J0s1ph | 分类:黑客攻防 | 围观:129次发表评论
-
伪造数据生成工具 – Faker
Faker是一款由python语言开发的工具,能够为我们生成伪造数据的Python包,有时候我们需要生成大量看起来正常的伪数据,此时我们可以用到Faker来实现这些目的。 Faker可以直接在控制台窗口使用或者通过调用API(应用函数接口)进行使用。它可以生成如下数据: 假名字 假的住宅地址和电...作者:J0s1ph | 分类:黑客攻防 | 围观:206次
-
OpenSSL HeartBleed漏洞批量检测工具
我只是一个路人,之前也是拿来主义,但是这次想自立更生却发现再造轮子的困难。于是在 Jared Stafford 的ssltest.py上面做了修改,使其可以自己爬Google,但是由于水平有限,加上第一次用python,边搜编写的,可能有些地方不好用,还请多多指正。 有厉害的童鞋可以使用Google的API,貌...作者:J0s1ph | 分类:黑客攻防 | 围观:172次
-
基于流量的OpenSSL漏洞利用检测方法
CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),此次漏洞问题存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SS...作者:J0s1ph | 分类:黑客攻防 | 围观:142次
-
Quantum – NSA最强大的互联网攻击工具
wired最近刊登了一篇详细描述有关Quantum的好文,披露了一些有关NSA Quantum系统的细节,其攻击能力令人印象深刻。 从本质上而言,Quantum是一个通用化的数据包注入工具,根据一些预设的模式对互联网的流量进行窃听,一旦发现来自于目标并匹配某种模式的数据包请求,便注入伪造的响应数...作者:J0s1ph | 分类:黑客攻防 | 围观:174次