zabbix SQL Injection Analysation

Aug 22,2016 in SQL注入,Web,安全研究,Code Review read (8265)

曝光过程2016年8月11日，有人在seclists上公布了这个漏洞的POC，但是针对的是latest.php这个文件的注入，zabbix官方已经在7月22日发布了补丁，在3.0.4版本进行了修复，但是仅修复了latest.php的注入问题紧接着8月12日，有人在secli...

继续阅读

Fix PHP Requests library

Jun 18,2016 in 不务正业,Web,PHP,安全开发 read (9972)

起因前几天因为某些需要，使用了PHP的一个requests库，Github:https://github.com/rmccue/Requests，说是Requests for PHP is a humble HTTP request library。用了一段时间感觉挺不错的...

继续阅读

Mar 03,2016 in Flask,Web,安全开发 read (8467)

最近看了看Flask，可是网上的教程全是用SQLite的，自己连接MySQL的时候，把connect URL修改成MySQL的样子，总是不成功。踩了一天的坑之后终于解决了。MySQL-Python连接MySQL的话必须要装这个库，通常情况下使用pip install就可以了...

继续阅读

Jan 02,2016 in Web,安全研究 read (10600)

0x00 什么是CSPCSP是内容安全策略，Conetent Security Policy，主要是为了减缓XSS、clickjacking和其他一些代码注入的攻击，目的是尽量使可执行的内容从可信的目标传递过来。说到CSP，就不得不提到另一种web安全模型：同源策略。0x0...

继续阅读

Nov 22,2015 in Web,安全研究,PHP read (8840)

什么是XXEXXE是XML外部实体注入，详细介绍可以参考OWASP的介绍，https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing为何一直实验不成功之前我一直在自己的ubuntu14.04+ln...

继续阅读

Aug 25,2015 in XSS,Web read (14293)

原文地址：http://cxsecurity.com/issue/WLB-2015080141像你所熟知的，chrome处于安全原因，不会执行跨站脚本中的JS代码，并且通过这个方法阻止了很多XSS攻击。假如现在你有一个受XSS影响的PHP代码(chrome.php)：<...

继续阅读

Jul 24,2015 in Web,安全研究,Code Review read (9253)

好久没有写东西，这篇文章也是第一次投给乌云，赚了点外快，乌云那边已经发出来了，贴到自己博客里吧。0x00 前言最近上(ri)网(zhan)上(ri)多了，各种狗啊盾啊看的好心烦，好多蜜汁shell都被杀了，搞的我自己也想开发这么一个斩马刀，顺便当作毕设来做了。未知攻，焉知防...

继续阅读

Mar 11,2015 in Web read (4315)

把虚拟主机的配置加入/path/to/xampp/apache/conf/extra/httpd-vhost.conf文件中，并在httpd.conf中设置监听响应的端口即可。

继续阅读

Jan 31,2015 in Web,安全研究 read (8076)

目标http://localhost/?id=2http://localhost/?id=2' 有回显错误Error-based injection猜解列数，因为在GET请求中，所以要用%23代替#http://localhost/sqli/Less-1/?id=2' UN...

继续阅读