歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • Fortify Sca自定義掃描規則
  • 代碼安全掃描是指在不執行代碼的情況下對代碼進行評估的過程。代碼安全掃描工具能夠探查大量“if—-then—-”的假想情況,而不必為所有這些假想情況經過必要的計算來執行這些代碼。 那么代碼安全掃描工具......
  • 所屬分類:網站安全 更新時間:2020-01-28 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(十二)
  • 在前面的文章中,我們為讀者介紹了如何分析數據流,以及如何進行污點跟蹤和指向分析。在本文中,我們將為讀者詳細介紹如何利用CodeQL平臺的Visual Studio Code插件,即CodeQL for VS Code在本地編寫和運行查詢,并直......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(十一)
  • 在前面的文章中,我們為讀者深入介紹了如何利用CodeQL提供的標準類來分析Python項目中的函數、語句、表達式和控制流。在本文中,我們將為讀者介紹如何分析數據流,以及如何進行污點跟蹤和指向分析。 概述 首先,什......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(十)
  • 前面的文章中,我們為讀者簡單介紹了如何利用查詢控制臺分析Python代碼,以及用于分析Python代碼的CodeQL庫。在本文中,我們將為讀者深入介紹如何利用CodeQL提供的標準類來分析Python項目中的函數、語句、表達式和控......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(九)
  • 前面的文章中,我們介紹了QL語言的基礎知識,接下來,我們將與讀者一起學習如何利用CodeQL平臺查找Python項目中的安全漏洞變種。在本文中,我們將為讀者介紹如何利用查詢控制臺分析Python代碼,以及用于分析Python代......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(八)
  • 過河問題是一個經典的邏輯問題,它要求在一定約束下將山羊、卷心菜和狼運到對岸。在本文中,我們將為讀者詳細介紹如何綜合利用類、謂詞和遞歸等知識點來編寫查詢代碼,從而解決這個經典的邏輯問題。 關于過河問題 ......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(七)
  • 在前面的文章中,我們通過一個抓縱火犯的例子來復習了謂詞的相關知識,并進一步學習類的定義和用法,以及如何覆蓋父類的成員謂詞。在本文中,我們將以尋找合法王位繼承人為例深入講解遞歸的概念與應用。 簡介 就在......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(六)
  • 在前面的文章中,我們通過一個抓小偷的例子,為大家展示了邏輯謂詞、連接詞和聚合操作的威力。在本文中,我們將通過一個抓縱火犯的例子來復習謂詞的知識,并進一步學習類的定義和用法,以及如何覆蓋父類的成員謂詞。......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(五)
  • 在前面的文章中,我們通過一個有趣的例子來介紹了邏輯謂詞的用法。在本文中,隨著破案故事的推進,我們將進一步學習邏輯連接詞和聚合操作的運用。 邏輯連接詞 在之前搜集的破案線索中,有些問題的答案是肯定的,例......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(四)
  • 在前面的文章中,我們學習了CodeQL平臺中的基本數據類型等概念,不過,這些知識點比較零散,接下來,我們來看看如何將這些知識點串起來解決具體的問題。同時,我們還會順便深入考察涉及到的邏輯謂詞、連接詞等知識點......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(三)
  • 在上一篇文章中,我們為讀者介紹了CodeQL平臺相關的基本概念,并演示了如何編寫和運行簡單的QL程序。在本文中,我們將為讀者介紹項目數據庫的創建過程,以及如何借助數據庫分析項目代碼。 數據庫概述 在前面的文章......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(二)
  • 在上一篇文章中,我們為讀者介紹了CodeQL平臺相關的基本概念,并演示了如何編寫和運行簡單的QL程序。在本文中,我們開始為讀者介紹一些簡單的數據類型,以便為將來的編程工作打好基礎。 基本數據類型及其內建函數 ......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 代碼分析平臺CodeQL學習手記(一)
  • CodeQL是一個代碼分析平臺,在它的幫助下,安全研究人員可以利用已知的安全漏洞來挖掘類似的漏洞。在本文中,我們首先為讀者介紹與代碼分析平臺CodeQL有關的一些基本概念,同時,還會為實例方式為讀者展示了如何編寫......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 基于流量的網絡入侵檢測系統實踐若干問題分析與思考
  • 網絡入侵檢測在發展過程中,主要有兩大流派:基于日志的入侵檢測和基于流量的入侵檢測。但因為基于日志的入侵檢測的數據源來自各系統的運行日志,日志格式多種多樣,標準化程度低,日志記錄內容的詳盡程度也千差萬別......
  • 所屬分類:網站安全 更新時間:2020-01-22 相關標簽: 閱讀全文...
  • 一文解密所有WebLogic密文
  • 關于weblogic密文的解密文章也有不少,最早看到的是之前烏云的一篇解密文章,后來oracle官方也出了解密腳本,還有國外大牛NetSPI寫的工具,但經過多次試用發現并不能“通殺”式的解決所有weblogic密文,于是在查閱大......
  • 所屬分類:網站安全 更新時間:2019-12-05 相關標簽: 閱讀全文...
  • PHP7.1后webshell免殺的去路
  • 嚴格的D盾 D盾說,我是個嚴格的人,看到eval我就報木馬,“看著像“=”就是“木馬,寧可錯殺一千,絕不放過一個。好了,多說無益,一起看看嚴格的D盾是如何錯殺的。 我隨手寫一個php文件:代碼如下: function e......
  • 所屬分類:網站安全 更新時間:2019-12-05 相關標簽: 閱讀全文...
  • 看我如何用一美分購買VPS服務和網站空間
  • 今天分享的Writeup是作者發現VPS和建站托管服務商的支付漏洞,通過一美分($0.01)交易實現購買VPS和網站空間服務。 漏洞情況 存在漏洞的兩家網站 1. redaced.net ( 某VPS服務網站 ) 2. redaced.com ( 某建站托......
  • 所屬分類:網站安全 更新時間:2019-11-28 相關標簽: 閱讀全文...
  • 子域名枚舉的藝術深度剖析
  • 子域名枚舉是信息收集中關鍵的一步,細節很大程度決定戰果。本文參考The Art of Subdomain Enumeration,加上實踐運用進行總結。 被動枚舉 一、證書透明度 證書 當通過HTTPS訪問web時,網站向瀏覽器提供數字證書......
  • 所屬分類:網站安全 更新時間:2019-11-27 相關標簽: 閱讀全文...
  • 論企業如何快速建立SDL流程
  • 今年很多比較大的互聯網公司開始試行SDL落地,但是由于相關資料文檔有限,導致落地困難,今天這篇文章就旨在討論一下企業SDL如何快速落地問題,題主落地SDL時間并不是很長,一兩年時間而已,但是一樣是從零開始,過程......
  • 所屬分類:網站安全 更新時間:2019-11-26 相關標簽: 閱讀全文...
  • 對某某新聞系統網站的入侵滲透檢測
  • 首先第一步就是做入侵檢測前的踩點工作發現是WII知道asp的站texthtml老站 踩好了點。就簡單的分享注入過程這個站還是挺基礎的 數值型 注入 插入簡單的注入語句 發現回顯不一樣 說明存在注入點的 丟神器里。......
  • 所屬分類:網站安全 更新時間:2019-10-08 相關標簽: 閱讀全文...
  • 三大滲透框架權限維持
  • 在滲透測試中,有三個非常經典的滲透測試框架--Metasploit、Empire、Cobalt Strike。 那么,通過漏洞獲取到目標主機權限后,如何利用滲透框架獲得持久性權限呢? 0x01 MSF權限維持 使用MSF維持權限的前提是先獲得......
  • 所屬分類:網站安全 更新時間:2019-10-08 相關標簽: 閱讀全文...
  • 記一次應急響應實戰
  • 某日,銷售接了一個電話,突然告訴我有個某單位服務器中了木馬被黑,具體情況未知。由于客戶那邊比較急,于是我火速趕往客戶現場。到現場,客戶首先給我看了深信服防火墻攔截記錄,顯示內網三臺機器被入侵。通過溝通......
  • 所屬分類:網站安全 更新時間:2019-10-08 相關標簽: 閱讀全文...
  • metinfo 6.2.0正則匹配不嚴謹導致注入+getshell組合拳
  • 今天公司做技術分享,分享了項目中的一個攻擊metinfo的案例,很有意思的攻擊鏈,記錄下。 svn泄露 svn是一個開放源代碼的版本控制系統,如果在網站中存在.svn目錄,那么我們可以拿到網站的源代碼,方便審計......
  • 所屬分類:網站安全 更新時間:2019-10-06 相關標簽: 閱讀全文...
  • PHP語言編寫一句話木馬過殺毒軟件的技巧解說
  • 一般一句話木馬的寫法 <?php eval(@$_POST[a]);?> 存在WAF的話,這種都直接殺的。 其實我們可以稍微變形一下 <?php function aa($str){ $cmd = urldecode($str);//可以隨便解碼 assert($a); } a......
  • 所屬分類:網站安全 更新時間:2019-09-23 相關標簽: 閱讀全文...
  • 冰蝎動態二進制加密WebShell特征分析
  • 冰蝎一款新型加密網站管理客戶端,在實際的滲透測試過程中有非常不錯的效果,能繞過目前市場上的大部分WAF、探針設備。本文將通過在虛擬環境中使用冰蝎,通過wireshark抓取冰蝎通信流量,結合平時在授權滲透中使用冰......
  • 所屬分類:網站安全 更新時間:2019-09-20 相關標簽: 閱讀全文...
  • 中國臺灣省的某個網站sa權限getshell
  • 第一步safe3 web 掃描注入點 第二步超級sql注入工具--識別注入---獲取環境變量 第三步sql注入工具--命令執行--列出網站根目錄 第四步sql注入工具--文件操作--寫入一句話木馬 到此結束了,本人也是剛剛......
  • 所屬分類:網站安全 更新時間:2019-09-19 相關標簽: 閱讀全文...
  • 記一次內部系統滲透測試:小漏洞組合拳
  • 這篇文章主要說的是我在這次內部測試的任務中,如何一步步獲取應用系統最高權限,總的來說,是各種小漏洞的組合拳。因是內部系統,所以打碼稍微嚴重些。 正文 在興(suo)致(ran)盎(wu)然(wei)的某一工作日,......
  • 所屬分類:網站安全 更新時間:2019-09-17 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        安徽快3自由的百科 重庆快乐10分号码预测 步步盈配资 幸运彩app 手机版 广西快三每天开多少期 中国体育彩票七位数规则 私募基金配资 2015排列3和值走势500期 河北十一选五走势图一定牛手机版 山东11选5前一玩法 河北十一选五推荐今天追号