◆0 背景
感谢各位的评论与讨论,经过研讨的地方在文章中标出。
先翻译整理一篇英文paper,后面再填上自己新发现的例子,先思路再实例 O(∩_∩)O
补充之前第一篇文章中思路,重新加入了最近发现的一些实例(也有部分来自wooyun上的牛人...
-
jnbbz: PHP漏洞挖掘思路+实例 第二章
2015-08-10 00:07 来自版块 - Web服务器安全
-
lidecpu: 如何发现 NTP 放大攻击漏洞
原文:http://jamesdotcom.com/?p=578 NTP 漏洞相关的文章在 Drops 已经有过了,并且不止一篇,之所以又翻译了这一片文章,是觉得文章的整体思路很不错,希望对看这篇文章的你有所帮助。 BTW:本文翻译比较随意,但是...2015-06-28 09:31 来自版块 - Web服务器安全
-
ximen25999: LDAP注入与防御剖析
[目录] ◆0 前言 ◆1 LDAP出现背景 ◆2 LDAP的特性 ◆3 LDAP注入攻击剖析 ◆4 防御LDAP注入 ◆5 本文小结 ◆6 参考资料 ◆0 前言 前些日子笔者在看OWASP测试指南时看到了对LDAP注入攻击的介绍,对此产生...2015-05-10 02:05 来自版块 - Web服务器安全
-
qwe13112: QQ申诉那点事
◆0 背景 这算是一篇扯蛋的文章,也可以说是一个申诉漏洞的总结。 以下案例都是我自己亲自试验的。绝无虚假之处,(可能有些地方会夸张把~) 事情要从“乌云白帽子被盗事件”说起,因为白帽子“鬼魅羊羔”不知何原因,被人申诉了QQ,再加上乌云网的安...2015-04-20 04:12 来自版块 - Web服务器安全
-
red_angel: 迭代暴力破解域名工具
原文:http://www.room362.com/blog/2014/02/19/iterative-dns-brute-forcing/ 翻译原则:没有原则,只是还原了文章的大概意思。 对于域名的暴力破解你肯定有一个包含多个主机名的文件。在我...2015-02-10 10:51 来自版块 - Web服务器安全
-
jessica0520: 一些你可能不知道的Flash XSS技巧
◆0 前言 原文链接 http://soroush.secproject.com/blog/2013/10/catch-up-on-flash-xss-exploitation-bypassing-the-guard ians-part-1/...2014-12-08 05:21 来自版块 - Web服务器安全
-
38axx: struts2最近几个漏洞分析&稳定利用payload
weibo:genxor ◆0 背景 看到网上关于struts2利用的文章非常多,但是对于漏洞触发跟踪分析的文档比较少,闲来无事跟踪了一下struts最近吵得比较火的两个漏洞,研究了一下能够稳定利用的payload。 ◆1 S2-008 ...2014-09-12 08:59 来自版块 - Web服务器安全
-
10443925: 软件漏洞分析技巧分享
作者:riusksk ◆0 背景 在日常分析软件漏洞时,经常需要耗费比较长的分析时间,少则几小时,多则数天,甚至更久。因此,经常总结一些分析技巧是非常有必要的,针对不同的漏洞类型采取不同的分析思路和技巧,可以有效地提高分析速度。对于一些被曝出...2014-04-18 16:39 来自版块 - Web服务器安全
-
476941347: XSS和字符集的那些事儿
◆0 前言 在文章的开头,我想对上次发布了一个结论及其离谱但还算及时被删除了的 文章(关于跨域字符集继承的那篇)道个歉。也希望没有测试就去转载的那些人,可以把那个文章删除了。防止更多人对跨域字符集产生了错误的理解。不过作为谢罪,我也又重新整理...2014-04-11 08:09 来自版块 - Web服务器安全
-
nz我心已冷: NTP反射型DDos攻击FAQ/补遗
◆0 背景 前两天,心伤的胖子发表了一篇《浅谈基于 NTP 的反射和放大攻击》 我之所以又写一篇和NTP有关的文章,是因为前面有些东西没提,或说的不够清楚,浅陋之处,欢迎大家指正留言,我再求教改进。 名词解释: ntp server :...2014-03-30 09:58 来自版块 - Web服务器安全