展开

关键词

Bypass 360SQL注入防御(多姿势)

本文作者:Bypass(来自信安之路作者团队) 在服务器客户端领域,曾经出现过一款 360 ,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。 从半年前的测试虚拟里面,翻出了 360 Apache 版的安装包,就当做是一个纪念版吧。 这边要分享一下几种思路,Bypass 360 SQL 注入防御。 ? 0x01 环境搭建 360 官网: http://zhuji.360.cn 软件版本:360 Apache 纪念版 测试环境:phpStudy 本地构造 SQL 注入点: $id=$_ 姿势一:网站后台白名单 在 360 客户端设置中存在默认网站后台白名单,如图: ? 利用 PHP 中的 PATH_INFO 问题,随便挑选一个白名单加在后面,可成功 bypass。 这个地方虽然 URL 编码也能绕过获取数据,要是因为 WAF 对 POST 的防御规则太过于松散,union select 随便绕,select from 用 %0a 就可以解决,要分享一下编码绕过的思路

79200

Bypass 360SQL注入防御(多姿势)

0x00 前言 在服务器客户端领域,曾经出现过一款360,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。 从半年前的测试虚拟里面,翻出了360Apache版的安装包,就当做是一个纪念版吧。这边要分享一下几种思路,Bypass 360SQL注入防御。 ? 0x01 环境搭建 360官网:http://zhuji.360.cn软件版本:360Apache 纪念版测试环境:phpStudy 本地构造SQL注入点: id=_REQUEST['id 姿势一:网站后台白名单 在360客户端设置中存在默认网站后台白名单,如图: ? 利用PHP中的PATH_INFO问题,随便挑选一个白名单加在后面,可成功bypass。 这个地方虽然URL编码也能绕过获取数据,要是因为WAF对POST的防御规则太过于松散,union select 随便绕,select from 用%0a就可以解决,要分享一下编码绕过的思路。

90740
  • 广告
    关闭

    什么是世界上最好的编程语言?丨云托管征文活动

    代金券、腾讯视频VIP、QQ音乐VIP、QB、公仔等奖励等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    EDR的一次勒索病毒阻击战

    摘要: EDR的一次勒索病毒阻击战 7月20日晚9点,安恒信息某客户在内网多台器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停止这些进程的运行,现场人员束手无策。 EDR的一次勒索病毒阻击战 7月20日晚9点,安恒信息某客户在内网多台器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停止这些进程的运行,现场人员束手无策。 当晚10点,安恒信息现场技术人员想到近期推出的具备勒索防御功能模块的安恒EDR。经EDR产品团队及客户现场技术人员紧急支持,在数台情况紧急的器上优先部署了终端。 到凌晨1点,现场技术人员发现感染病毒的器上spoolsv.exe在内网不断进行针对4**端口的扫描和发包行为,试图发现可攻击,发现目标后执行smb远程溢出漏洞攻击,从而进行病毒的传播。 安恒(EDR)勒索防御功能简介 对于已知勒索病毒,零误报,零漏报查杀; 对于未知勒索病毒,采用专利级的诱饵引擎进行捕获,阻止其加密行为; 通过内核级的流量隔离技术,自动阻止勒索病毒在内网扩散或者接收远程控制指令

    70110

    经验总结 | SQL注入Bypass安全狗360

    0x00 前言 这类的文章已经是比较多了,本文也要是作为学习笔记来记录,要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法 访问本地搭建的靶场地址,像下面这个样子就算是搭建成功了,其中 192.168.38.132 需要修改为你自己的靶 IP 地址。 http://192.168.38.132/sql.php? 绕过的方法还有很多,安全狗的就记录到这里,接下来看看 360 。 0x03 360 1、搭建 曾经 360 出现过一款 360 ,不过现在已经停止更新和维护了,官网也打不开了,所以只能在第三方网站下载了,这里我下载的是 2.0.5.9 版本。 下载地址:http://www.pc6.com/softview/SoftView_145230.html 虽然 360 已经停止了更新,但是拿来练练手还是可以滴。

    31630

    EDR:告别数据泄露 让勒索病毒无处遁形

    随后EDR技术团队通过EDR管控中心对所有Agent所在进行大面积的病毒木马查杀,清除所有病毒残余进程,成功守护安全。 与其他终端防护产品相比,EDR集成了独有的业界领先双引擎勒索与挖矿防御功能,有着独家云端东西向流量隔离功能,以及能够第一时间提供真实漏洞补丁,是一款能够高效查杀各类病毒、木马,对系统进程和文件进行监控和保护的安全及管理系统 并且在近日,经公司安全研究员及应急响应中心发现并确认公司员工使用的某公司安全产品有网络发包行为和文件上传行为,致使所有使用该产品的都存在数据泄露的风险。 综上,企信部与EDR事业部经过讨论,决定在公司内部大力推广EDR,取代这款并不安全的“安全产品”,更好地保护公司安全。 计划第一阶段,EDR最新版测试完成后在公司内部所有测试及部分企信部器上安装,进行防护测试;第二阶段,在公司所有研发及办公电脑部署EDR,共同助力安全安恒!请大家拭目以待。

    67620

    欢迎细节和界面

    splash界面的细节 ctrl + O 搜索 在去标题的时候,对话框题被去掉了,有点丑,现在既要有新版本的对话框又不显示标题 把清单文件中activity节点的题去掉 进入到application 父亲类有的子类一定有 子类有的父类不一定有 XxxActivity.this生命周期短一点,和activity一致,用的多一点 getApplicationContext()生命周期长一点,和应用一致 应用程序的界面 对象的setAdapter(adapter)对象,参数:Adapter对象 Adapter是接口,使用内部类继承BaseAdapter类来定义 定义文字数据,静态String[] names数组,{“手防盗 ”,”通讯”} 定义图片数据,静态 int[] icons数组,{R.drawable.xxx,xxxxxxx} 创建一个内部类MyAdapter继承BaseAdapter 重写getCount() ","通讯","软件管家", "进程管理","流量统计","手杀毒", "缓存清理","高级工具","设置中心" }; private static

    17820

    项目

    版本不填,填了高版本就无法安装了 欢迎界面,SplashActivity [android] Splash欢迎界面的UI 显示logo,便于宣传 应用程序数据的初始化 检查版本信息 检查网络 检查版权 界面去掉标题栏 清单文件里面,设置题,android:theme=”@android:style/Theme.Black.NoTitleBar” 文字的阴影效果 设置阴影颜色 android:shadowColor

    28230

    Android手开源

    以下才是今天分享的内容: Android手开源项目: 此项目是up之前参考互联网视频编写的,完成时间大概是2017年4月份,现在开放源代码到github。 项目运行部分截图如下: 功能列表: 1).手防盗 2).通信 3).软件管理 4).进程管理 5).流量统计 6).手杀毒 7).缓存管理 8).高级工具(包或归属地查询、常用号码查询 、程序锁、短信备份) 部分简介: (1)项目使用 xUtils 2.6.14框架实现服务器断端apk升级包的下载; (2)为了实现电话的拦截功能,使用aidl文件进行反射调用; (3)通信模块密码使用 MD5加密; (4)页使用网格布局; (5)assets目录下包含的数据库文件:病毒数据库、公共号码数据库、归属地查询数据库。

    8450

    绑定sim卡

    更新: 收不到启动广播,查看知乎,好像是说高版本的系统都禁止了 还可以通过adb发送开广播 adb shell am broadcast -a android.intent.action.BOOT_COMPLETED String类型的序列号 把序列号保存在SharedPreences里面 需要加权限 android.permission.READ_PHONE_STATE 检测sim卡是否变更 使用广播接收者,监听手的开广播 android.intent.action.BOOT_COMPLETED 在BootCompleteReceiver类里面的onReceive()方法里,接收到广播,读取当前的sim卡序列号,比较之前保存的sim卡序列号,如果不一样就发送短信给安全号码 监听开启动需要权限

    35220

    自定义吐司

    继续在之前监听来电的服务AddressService里,添加成员方法MyToast()

    23630

    读取联系人

    ; import android.content.Context; import android.database.Cursor; import android.net.Uri; /** * 读取手联系人

    17820

    定位的原理

    定位的三种方式:网络定位,基站定位,GPS定位 网络定位,手连上wifi 2g 3g的时候,手会有一个ip,误差很大 基站定位,精确度与基站的多少有关,几十米到几公里的误差 GPS定位,至少需要三颗星才能定位 ,在空旷的地方准确 手使用A-GPS需要网络来辅助定位,定位速度快,网络记录了上次的星轨道, 获取LocationManager对象,通过getSystemService(LOCATION_SERVICE

    53720

    关闭自动更新

    得到保存的数据,参数:键,默认值 进行判断,状态设置为ture,设置文本内容 设置检查下载部分 得到保存的是否自动更新的状态,判断状态 如果自动更新,调用检测自动更新的代码 如果不自动更新,延迟两秒,自动跳转到页 调用Handler对象的postDelayed()方法,参数:Runable对象,延迟的毫秒数 使用匿名内部类继承Runable对象,重写run()方法,方法里面跳转到页 升级进度的TextView

    18750

    设置向导页面

    40dp" android:background="#2D89EF" android:gravity="center" android:text="1.手防盗设置向导 android:layout_marginLeft="10dp" android:layout_marginTop="8dp" android:text="手防盗包含以下功能

    22130

    界面切换动画

    调用overridePendingTransition()方法,参数:R.anim.xxx_in,R.anim.yyyyy_out

    29320

    保存安全号码

    调用ListView对象的setOnItemClickListener()方法,设置条目的点击事件,参数:OnItemClickListener对象

    22320

    欢迎页检测更新

    去服务器获取最新的版本信息 服务器端: 版本信息,最新的版本2.0 最新版本的下载地址:http://xxxxxxxx/mobilesafe2.0.apk 版本的描述信息 客户端如果不升级新版本就进入界面 构造方法 调用JSONObject对象的get(key)方法,获取值,需要强转 把descript和apkurl定义成类的成员变量 校验是否有新版本 当前的版本和服务端返回的版本进行判断 版本一致进入界面 Handler对象的sendMessage()方法,参数:Message对象 处理信息 在handleMessage()方法里面进行处理 switch判断不同的what标记,展示对话框和Toast,跳转到界面 跳转到页 使用显式意图跳转界面 获取Intent对象, 调用startActivity()方法 关闭当前页面 finish() 解决页面跳转太快 在联网之前定义一个开始时间startTime 联网结束定义一个结束时间 if (newVersion.equals(getVersionName())) { // 进入界面

    18220

    自定义滚动控件

    com.qingguow.mobilesafe.ui.FocusedTextView android:singleLine="true" android:ellipsize="marquee" android:text="手欢迎您 ,本手软件不包含任何多余的服务进程,不包含任何多余的消耗资源的内容" android:layout_width="wrap_content" android:layout_height

    16730

    自定义组合控件

    调用GridView对象的setOnItemClickListenner()方法,参数:OnItemClickListenner对象

    20710

    号码归属地查询

    使用小米号码归属地数据库,有两张表data1和data2 先查询data1表,把手号码截取前7位 select outkey from data1 where id=”前七位手号” 再查询data2 id=”上面查出的outkey” 可以使用子查询 select location from data2 where id=(select outkey from data1 where id=”前7位手

    35930

    相关产品

    • 专用宿主机

      专用宿主机

      专用宿主机(CDH)提供用户独享的物理服务器资源,满足您资源独享、资源物理隔离、安全、合规需求。专用宿主机搭载了腾讯云虚拟化系统,购买之后,您可在其上灵活创建、管理多个自定义规格的云服务器实例,自主规划物理资源的使用。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券