腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Bypass

专栏作者

230

文章

546847

阅读量

60

订阅数

获取 Spring heapdump中的密码明文

eclipse http java jdk jvm

Actuator是Spring Boot提供的应用系统监控的开源框架。在攻防场景里经常会遇到Actuator配置不当的情况，攻击者可以直接下载heapdump堆转储文件，然后通过一些工具来分析heapdump文件，从而可进一步获取敏感信息。

2022-12-01

1.6K0

Proxifer+BurpSuite 抓取PC客户端HTTP(s)数据包

爬虫安全 http es

针对PC客户端(C/S架构)的渗透测试，抓包是一个挡在我们前面的问题。如果可以使用BurpSuite抓取客户端的HTTP(S)流量，那么测试过程将更有效率，也更有利于漏洞挖掘。本文分享一个抓取PC客户端HTTP(s)数据包的小技巧。

2021-12-13

4.2K0

微信小程序渗透测试技巧

小程序安全 http SSL 证书 https 小程序

随着小程序数量的爆发式增长，其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧，总结下微信小程序安全测试的思路。

2021-07-22

4.8K0

从Web日志还原SQL注入拖走的数据

自动化 php 网站 http 网络安全

利用SQL注入漏洞拖库，从而导致数据泄漏。一般的排查方式，我们可以使用关键字进行搜索，找到可疑的url尝试进行漏洞复现，通过Web访问日志来还原攻击路径，从而确定问题的根源。

2021-04-12

5920

打造自己的弱口令扫描工具

python http ssh mongodb

在内网检测中，弱口令扫描是必不可少的环节，选择一个好用的弱口令扫描工具，尤为重要。

2020-12-16

3K0

最好用的内网穿透工具合集

tcp/ip 网络安全 http linux

在渗透过程中，我们需要快速实现内网穿透，从而绕过网络访问限制，直接从外网来访问内网。今天，我们来推荐几款非常好用的内网穿透工具，如有其它推荐，欢迎补充和指正。

2020-09-08

7.2K1

绕过HSTS继续抓包

https 安全数据分析网站 http

在网站渗透过程中，我们往往需要对HTTP协议抓包分析，然后对每一个参数进行观察和测试。

2020-05-28

3K0

在线检测你的密码是否被泄露

http 云镜（主机安全）tcp/ip https 网络安全

在互联网上，每天都有网站遭受黑客攻击，用户数据被窃取，这些数据通常包含用户名、密码（加密字段，甚至可能是明文）、电子邮件地址、IP地址等，用户的隐私安全将受到极大的威胁。

2020-05-14

3.8K0

Web中间件常见安全漏洞总结

安全 iis http https 网络安全

来源 | https://www.lxhsec.com/2019/03/04/middleware

2020-02-26

15.3K0

PC客户端(CS架构)如何实现抓包

针对PC客户端(C/S架构)的渗透测试，相比于B/S架构，它所使用到的通讯协议有多种，如TCP、HTTP(S)、TDS等。如何实现PC客户端抓包呢，常使用的工具有Wireshark、iptool、WSExplorer等。

2019-10-23

6.4K0

手机抓不到包，解决很简单

windows SSL 证书 http https 网络安全

在渗透过程中，需要对每一个参数，每一个接口，每一个业务逻辑构建测试用例，为此，抓包分析是必不可少的一个过程。在PC端，Burpsuite成为了渗透必备的神器，然而，使用Burpsuite有时候抓取不到手机的HTTPS数据。

2019-10-10

2.9K0

推荐一些优秀的甲方安全开源项目

https http 网络安全 github 开源

这是一份甲方安全开源项目清单，收集了一些比较优秀的安全开源项目，以帮助甲方安全从业人员构建企业安全能力。这些开源项目，每一个都在致力于解决一些安全问题。

2019-07-12

4.8K0

CVE-2019-0708高危漏洞，各家安全厂商的扫描修复方案

安全 windows server windows http https

自微软公司于2019年5月14日发布远程桌面服务远程代码执行漏洞（CVE-2019-0708）安全公告后，整个业界都一直在密切关注，这个漏洞必将在当今网络中掀起腥风血雨。各大安全厂商也纷纷推出自己的修复方案，我们来一起看一看。

2019-07-08

1.7K0

PHP代码审计笔记--SQL注入

网络安全安全云数据库 SQL Server php http

测试语句：id=1 UNION SELECT user(),2,3,4 from users

2019-07-08

1.6K0

Linux应急响应（四）：盖茨木马

linux ddos http 网络安全安全

Linux盖茨木马是一类有着丰富历史，隐藏手法巧妙，网络攻击行为显著的DDoS木马，主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中，大量使用Gates这个单词。分析和清除盖茨木马的过程，可以发现有很多值得去学习和借鉴的地方。

2019-07-08

1.9K0

【代码审计】任意文件删除漏洞实例

安全网络安全 php http

在一个网站中，涉及文件删除操作的函数，如果文件名可控，将可能存在任意文件删除漏洞，该漏洞可让攻击者随意删除服务器上的任意文件。好久没更新代码审计的文章了，通过CSCMS分享几个漏洞实例，水一文。

2019-07-08

1.2K0

PHP代码层防护与绕过

php 编程算法 http sql 数据库

　　在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御，在一定程度上对网站安全防护还是比较有效的。

2019-07-08

1.3K0

渗透技巧--浅析web暴力猜解

Web登录界面是网站前台进入后台的通道，针对登录管理界面，常见的web攻击如：SQL注入、XSS、弱口令、暴力猜解等。本文主要对web暴力猜解的思路做一个简单的分析，并结合漏洞实例进行阐述。

2019-07-08

1.5K0

Bypass 护卫神SQL注入防御（多姿势）

iis php 云数据库 SQL Server sql http

　　护卫神一直专注服务器安全领域，其中有一款产品，护卫神·入侵防护系统，提供了一些网站安全防护的功能，在IIS加固模块中有一个SQL防注入功能。

2019-07-08

1.7K0

Bypass 360主机卫士SQL注入防御（多姿势）

网络安全 http sql 数据库

在服务器客户端领域，曾经出现过一款360主机卫士，目前已停止更新和维护，官网都打不开了，但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面，翻出了360主机卫士Apache版的安装包，就当做是一个纪念版吧。这边主要分享一下几种思路，Bypass 360主机卫士SQL注入防御。

2019-07-08

1.7K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态