-
使用fuzzDB进行web安全测试
写在前面: fuzzDB看字面意思就知道,他是一个用于fuzz网站的库。类似于wwwscan之类工具的字典,但是他的过人之处是他是“开源”的,会有很多大神帮你维护一个字典,想想都心旷神怡啊。 正文: 自从写了一个FuzzDB的介绍之后,基友们纷纷表示想看到关于这款工具的更多细节。这篇文章介绍了...作者:J0s1ph | 分类:黑客攻防 | 围观:200次发表评论
-
一次通过漏洞挖掘成功渗透某网站的过程
起因 我们的一个客户希望我们对其网站进行渗透测试,以发现其脆弱点并协助改进安全性。在拿到对方渗透测试授权之后,我们开始了对其网站的分析。 寻找突破口 对方主站是一个定制开发的CMS,在进行一系列扫描和分析之后,未发现可利用的地方,于是开始分析其二级域名,发现其中某资源管...作者:J0s1ph | 分类:黑客攻防 | 围观:115次
-
由XSS漏洞引发的僵尸网络DDos攻击风暴
写在前面: 本文中的黑客利用XSS控制的僵尸网络进行DDosS攻击,存在漏洞的视频网站,被云安全服务提供商隐去了名字,会是youtube吗?我们不得而知。 正文: 基于应用层的分布式拒绝服务攻击(distributed denial of service)是一种复杂的web攻击,他利用看似合法的请求流量攻击网站的特...作者:J0s1ph | 分类:黑客攻防 | 围观:197次
-
详解SQL盲注测试高级技巧
写在前面: 这篇文章主要写了一些加快盲注速度的技巧和盲注中比较精巧的语句,虽然注入并不是什么新技术了。但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进。 正文: 首先来简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。...作者:J0s1ph | 分类:黑客攻防 | 围观:132次
-
打造可扩展的针对web漏洞的渗透测试平台 – skadi
0.背景分析 当今的互联网站点,各种cms和框架大规模普及,这虽然方便了广大站长,但是这些开源项目的安全性不容乐观,比如前一阵子的strutsII漏洞使各大平台和高校网站被入侵。 如今各大漏洞库的建立为我们提供了丰富的漏洞资源。国内有乌云网,sebug,国际上有CVE和exploit-db。我们...作者:J0s1ph | 分类:黑客攻防 | 围观:162次