- 博客(9)
- 收藏
- 关注
RSS订阅原创 Water Pamola通过恶意订单对电商发起攻击
首先,IDFX变量使用XOR操作(请参见字符)对字符串“createfunction”进行解码,然后将所得的base64字符串解码为@eval( IDFX变量使用XOR操作(请参见字符^)对字符串“create_function”进行解码,然后将所得的base64字符串解码为@eval(IDFX变量使用XOR操作(请参见字符)对字符串“createfunction”进行解码,然后将所得的base64字符串解码为@eval( _ REQUEST [‘ec_ver2update’]),这是后门的代码。
2022-12-23 16:41:26
158
原创 WampServer 安装Redis扩展
5.重启WampServer6.测试 两种方式验证配置的有效性* php 命令 php redisTest.php。值得注意的是 WarmpServer的php目录下可能有两个类似的配置分别为。4.修改php.ini 搜索”extension=“ 在该配置段最后加上。1.查看PHP版本信息。
2022-12-23 16:41:09
240
原创 Waf功能、分类与绕过
WAF是Web应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施。WAF分为硬件WAF、软件WAF(ModSecurity)和云WAF。WAF对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。
2022-12-22 21:27:14
323
原创 W13Scan 扫描器挖掘漏洞实践
在安装好依赖模块后,就可以开始运行了,运行有两种模式,主动扫描和被动代理,我这里就以主动扫描为例,要先准备一个带有参数的URL地址,这个地址我是从谷歌搜索的,搜索关键词如下所示。这段时间总想捣鼓扫描器,发现自己的一些想法很多前辈已经做了东西,让我有点小沮丧同时也有点小兴奋,说明思路是对的,我准备站在巨人的肩膀去二次开发,加入一些自己的想法,从。因为我是做PHP开发的,对python不算太熟悉,所以在安装过程中出现了一些问题,把解决方法记录下来,给需要的人一个参考吧。还有一种方式,在打开。
2022-12-22 21:26:24
144
原创 W13Scan 漏洞扫描器之XSS插件模块编写示例
在上图中可以看到浏览器触发了XSS代码,弹出了cookie值,至此编写XSS检测插件就完成了,当然这个插件还不够完善,有兴趣的可以自己再深入研究~在编写插件之前,我们需要对框架本身的目录结构有一定了解,由于W13Scan本身的文档不是太详细,我自己整理了一下,目录结构图下所示。目录,在目录里面有29个插件,调试的时候不是太方便,我先将其他插件都删除,为了参考插件怎么编写的,我留下一个,如下图所示。本篇文章的XSS插件的编写单纯是为了学习这个框架,所以只支持GET型,了解插件的编写方法和原理即可。
2022-12-22 21:22:11
408
原创 W5 SOAR 使用体验
W5是一个面向企业安全与运维设计的低代码自动化平台,可以让团队降低人工成本,提升工作效率。可以把代码图形化、可视化、可编排。让不同的系统,不同的组件通过 APP 进行封装形成平台能力,通过剧本画出你想要的逻辑过程,利用多种Trigger去实现自动化执行。W5 适应用于多个方向,例:Devops、安全运营、自动化渗透、工作流程等什么是 W5 SOAR | W5 SOAR 使用文档Hello World | W5 SOAR 使用文档。
2022-12-21 11:01:49
759
原创 vulnhub_内网渗透测试的记录——网络安全
这个靶机花了我大半天的时间,主要还是在网络配置上面的捯饬,内网的靶机每一个都不太难,重要的就是如何通过流量转发后正确的使用一些工具达到扫描端口爆破服务的目的,总体的收获还是挺大的,虽然和真实环境相比确实差别较大,但刚好最近就在用ES这方面的产品,也趁着这个机会对于ES的相关漏洞也加强了学习。
2022-12-21 10:59:36
231
1
原创 vue 项目优雅的对 url 参数加密
近期因为公司内部的安全检查,说我们现在的系统中参数是明文的,包括给后端请求的参数和前端页面跳转携带的参数,因为是公司内部使用的系统,在安全性方面的设计考虑确实不够充分。两个方法的实现原理,可以看到源码中对于参数的加密解密考虑的处理是更多的,其实也可以把两个方法的源码拷贝出来,加上加密、解密的方法然后覆盖源码即可。对于参数的加密和解密很好实现,直接采用常用的 AES 算法,前后端定义好通用的密钥和加解密方式就好,前端加解密这里主要使用到。现在最终的解决方案就很明确了,自定义两个参数加密、解密的方法,然后在。
2022-12-21 10:55:48
4024
1
原创 Vue 模板编译原理
本篇文章我们说了 vue 对模板编译的整体流程分为三个部分:解析器(parser),优化器(optimizer)和代码生成器(code generator)。解析器(parser)的作用是将模板字符串转换成。优化器(optimizer)的作用是找出那些静态节点和静态根节点并打上标记。代码生成器(code generator)的作用是使用生成 render函数代码(generate render function code from element ASTs)。
2022-12-21 09:13:23
162
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人