腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
小白安全
菜鸟安全
专栏作者
举报
126
文章
245396
阅读量
55
订阅数
订阅专栏
申请加入专栏
全部文章(126)
其他(25)
php(21)
安全(19)
安全漏洞(13)
html(10)
数据库(10)
shell(10)
linux(9)
windows(9)
css(7)
云数据库 SQL Server(7)
java(6)
python(6)
sql(5)
存储(4)
asp(4)
https(4)
javascript(3)
apache(3)
自动化(2)
网络安全(2)
ssh(2)
tcp/ip(2)
flash(2)
powershell(2)
比特币(1)
数字货币(1)
ruby(1)
go(1)
bash(1)
xml(1)
ajax(1)
access(1)
api(1)
unix(1)
windows server(1)
容器镜像服务(1)
腾讯云测试服务(1)
mongodb(1)
人工智能(1)
网站(1)
微信小程序音视频(1)
http(1)
容器(1)
编程算法(1)
游戏(1)
开源(1)
分布式(1)
缓存(1)
黑客(1)
爬虫(1)
jdk(1)
wordpress(1)
dns(1)
seo(1)
自动化测试(1)
selenium(1)
iis(1)
kerberos(1)
数据库管理(1)
服务器(1)
远程桌面(1)
搜索文章
搜索
搜索
关闭
重置dedecms管理员后台密码重现及分析
安全
php
sql
人工智能
0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程: 重置admin前台密码—>用admin登录前台—>重置admin前后台密码 0×01 前台任意用户密码重置分析 组合拳第一式:重置管理员前台密码 漏洞文件:member\resetpassword.php:75 else if(
奶糖味的代言
2018-04-16
6.4K
0
XSS跨站脚本攻击的原理分析与解剖
安全
自动化
《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底 5、是一种被动的攻击
奶糖味的代言
2018-04-16
1.5K
0
过安全狗waf注入技巧
安全
php
过安全狗waf注入 前提web页面存在注入漏洞 测试开始本地搭建环境 环境 安全狗(APACE版)V4.0 防护规则全开 绕过 1. 延时盲注 http
奶糖味的代言
2018-04-16
796
0
EvilURL 一个生成用于钓鱼攻击的IDN域名的工具
python
安全
EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具 secist2018-01-27共191208人围观 ,发现 1 个不明物体 EvilURL v2.0是一个IDN同形异义字
奶糖味的代言
2018-04-16
1.3K
0
PHP、ASP过安全狗一句话
安全
php: <?php $a = $_GET['a']; $b = $_GET['b']; $c = base64_decode($a).base64_decode($b); $c =
奶糖味的代言
2018-04-16
1.7K
0
关于YUNUCMSv1.0.6 任意文件删除与配置文件写shell-freebuf漏斗社区发布
shell
php
安全
windows
任意文件删除漏洞 0×00 相关环境 源码信息:YUNUCMSv1.0.6 问题文件: \YUNUCMSv1.0.6\statics\ueditor\php\vendor\Local.class.php 漏洞类型:任意文件删除漏洞 站点地址:http://www.yunucms.com/ 0×01 漏洞分析 在文件\YUNUCMSv1.0.6\statics\ueditor\php\vendor\Local.class.php的第3
奶糖味的代言
2018-04-16
1.1K
0
USB自动渗透手法总结
安全
USB(Universal Serial Bus)原意是指通用串行总线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,这套标准在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出,提出之后经过一个快速的发展成功替代串口和并口等标准,成为一个世界认可的统一标准,被当代的海量设备使用,而我们口中常说的USB其实是指采用USB接口标准的可移动存储介质,那么以下为了叙述方便我们便用USB或U盘指代采用USB接口标准的可移动存储介质来详细介绍常见的三种利用该类型设备的渗透手法。 一、a
奶糖味的代言
2018-04-16
2K
0
XSS手工利用方式-FreeBuf.COM
安全
0×00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将获取的内容传递出来,可以选择购买VPS或者免费的dnslog平台通过get请求来接受数据。 在vps端有很多接
奶糖味的代言
2018-04-16
1.7K
0
文件包含漏洞-懒人安全
安全
一.漏洞描述 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件是使用硬编码的,那么一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进入到了文件包含的过程中,从而导致提交的恶意数据被执行,主要用来绕过waf上传木马文件。 二.漏洞分类 0x01本地文件包含:可以包含本地文件,在条件
奶糖味的代言
2018-04-16
1.5K
0
通过DVWA学习XSS
安全漏洞
安全
简介 这篇文章通过 dvwa 简单研究了三种类型的 xss,并且讲述了如何利用 xss 获取目标网站用户的 cookie。 dvwa反射型xss 测试环境 一台 win200
奶糖味的代言
2018-04-16
5.4K
0
扫目录过狗过waf方法
安全
asp
java
用御剑的朋友都遇到过这个页面吧,装狗了开启保护就会这样 本机搭建安全狗设置发现,默认是过蜘蛛的,所以只要把http头来路改成蜘蛛的useragent就ok了 无奈御剑和wscan 都是无法设置http头的,也无法用burp做代理中转改http头 像AWVS,Burp类大型扫描工具也可以进行目录扫描,并且也可以挂代理,改http头,不过个人感觉远没有专业扫描工具来的简单 因此翻出一款老工具 DirBuster是Owasp(开放Web软体安全项目- Open W
奶糖味的代言
2018-04-16
1.3K
0
从*.BAT到银行钓鱼页面
安全
如果你以为使用BAT文件来进行攻击有点过时了,那我得请你想好再说了。在监控我们的安全邮件网关云服务时,我们发现了多个针对巴西用户的可疑的垃圾邮件。接下来,我们就给大家分析一下这个使用BAT文件来实施攻
奶糖味的代言
2018-04-16
952
0
XSS防御速查表
存储
安全
html
一、介绍 本文提供了一种通过使用输出转义/编码来防止XSS攻击的简单有效模型。尽管有着庞大数量的XSS攻击向量,依照下面这些简单的规则可以完全防止这种攻击。这篇文章不会去研究XSS技术及业务上的
奶糖味的代言
2018-04-16
4.9K
0
小白博客 sqlmap之POST登陆框注入方式三【指定一个参数的方法】
安全
sqlmap -u http://xxx.xxx.com/Login.asp --data "n=1&p=1"
奶糖味的代言
2018-04-16
1.2K
0
妙用JavaScript绕过XSS过滤-----小白安全博客
安全
安全漏洞
基于DOM的XSS漏洞利用 Mavo框架会创建一个名为$url的对象,该对象能够为开发人员提供访问GET参数的便捷方法。例如,如果你想访问GET参数“x”,那么你可以访问$ url对象的“x”属性,示例如下所示: $url.x //获取GET参数x 但是,这种方便性也增加了开发人员引入基于DOM的XSS漏洞的可能性。 我在2017年5月31日向CSS工作小组报告了这样一个问题:他们使用Mavo来管理CSS规范上的评论功能,并使用$url来分配一个href超链接对象,HTML代码如下所示: <h1>
奶糖味的代言
2018-04-16
1.7K
0
绕过Edge、Chrome和Safari的内容安全策略
安全
安全漏洞
概述 ---- Web应用中有许多基本的安全机制,其中一个是同源(same-origin)策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的web资源。 比如,在Web浏览器上下文中执行的某个脚本,如果其来源服务器为good.example.com,那么它就可以访问同一台服务器上的数据资源。另一方面,根据同源策略的思想,来自evil.example.com的另一个脚本不能访问good.example.com上的任何数据。
奶糖味的代言
2018-04-16
2.3K
0
绕过软WAF攻略
腾讯云测试服务
php
http
安全
现在软waf较为多,就在今年夏天苦逼挖洞的日子里经常遇到360主机卫士,安全狗,云锁之类的软waf进行拦截,经常碰到如下拦截提示: 看到以上三个拦截提示就让人头疼不已,欲罢不能。 数据库特
奶糖味的代言
2018-04-16
2.3K
0
小白博客 SQL注入实战
sql
安全
php
本文仅供学习交流,目的是为了构建更加安全的网络环境! 注入地址 某VIP会员专用系统http://www.tcmpv.com/index.php/Home/Public/login.html 相关工具 注入工具: 超级SQL注入工具【SSQLInjection】http://www.shack2.org/article/1417357815.html 明小子 抓包工具: Wireshark 注入过程 1.测试漏洞 1)测试 ' 首先打开网
奶糖味的代言
2018-04-12
1.4K
0
Python的md5和sha1加密
python
编程算法
安全
MD5 MD5的全称是Message-Digest Algorithm 5(信息-摘要算法)。128位长度。目前MD5是一种不可逆算法。 具有很高的安全性。它对应任何字符串都可以加密成一段唯一的固定长度的代码。 SHA1 SHA1的全称是Secure Hash Algorithm(安全哈希算法) 。SHA1基于MD5,加密后的数据长度更长, 它对长度小于264的输入,产生长度为160bit的散列值。比MD5多32位。 因此,比MD5更加安全,但SHA1的运算速度就比M
奶糖味的代言
2018-04-11
1.7K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档