http://www.91ri.org/3117.html http://linux.cn/article-5332-1-rss.html http://www.freebuf.com/articles/web/5264.html…

如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度.而本文要介绍一本能很好回答这个问题的优秀书籍——<web application defender's cookbook>,这 是一本被低估的“干货”书籍,虽然是为ModSecurity量身定制,但里面提到的防御技巧对web安全从业者均有启发,是WAF版的孙子兵法(有趣的 是,这本书的每个章节均以孙子兵法作为开篇语). 这本书提出了使用ModSecurit…

扫描一下 Starting Nmap 5.30BETA1 ( http://nmap.org ) at 2011-05-06 09:36 中国标准时间 NSE: Loaded 49 scripts for scanning. Initiating Ping Scan at 09:36 Scanning 203.171.239.* [4 ports] Completed Ping Scan at 09:36, 0.90s elapsed (1 total hosts) Initiating Par…

[*] Please wait while the Metasploit Pro Console initializes... [*] Starting Metasploit Console... MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMM MMMMMMMMMM MMMN$ vMMMM MMMNl MMMMM MMMMM JMMMM MMMNl MMMMMMMN NMMMMMMM JMMMM MMMNl MMMMMMMMMNmmmNMMMM…

catalog . Description . Effected Scope . Exploit Analysis . Principle Of Vulnerability . Patch Fix 1. Description struts2漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为ongl语句执行(可理解为java代码).ongl表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通…

工欲善必先利其器,firefox一直是各位渗透师必备的利器,小编这里推荐34款firefox渗透测试辅助插件,其中包含渗透测试.信息收集.代理.加密解密等功能. 1:Firebug Firefox的 五星级强力推荐插件之一,不许要多解释 2:User Agent Switcher改变客户端的User Agent的一款插件 3:Hackbar攻城师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码. 4:HttpFox监测和分析浏览器与web服务器之间的HTTP流量 5:Live…

Metasploitable 2 系统是一个基于ubuntu 的系统.其设计的最初目的为安全工具测试和常见漏洞攻击演示.而在这篇关于 Metasploit 的教程中,我们将列举有关 Metasploitable 2 这个系统的相关漏洞,并利用漏洞,来收集和获取我们所需要的信息. 在数学或计算机科学中的枚举是指,在一组中一一列出其中的元素.但在黑客术语中,枚举通常是指将我们所要收集的信息枚举出来.例如:我们需要枚举出数据库的用户名甚至密码,枚举系统的文件共享,枚举服务器当前状态,枚举web目录,群…

一.准备工作 系统:centos 7.2 64位.nginx1.10.2, modsecurity2.9.1 owasp3.0 1.nginx:http://nginx.org/download/nginx-1.10.2.tar.gz 2.modsecurity for Nginx: https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz 3.OWASP规则集:https://github.com/SpiderLabs…

前天看S哥用Firefox的hackbar进行手动注入进行渗透,觉得直接运用浏览器的插件进行渗透测试有很多优点,既可以直接在前端进行注入等操作,也可以省却了寻找各种工具的麻烦.前端还是最直接的!于是这两天开始整理集合各种Firefox和chrome的渗透插件进行学习. Firefox 不解释.Firefox一直是渗透测试的利器,比天朝那些百度浏览器和360浏览器之类的不知道强到哪去. 1.Firebug Firebug一直是很多程序猿和黑客选择Firefox的重要因素,大名鼎鼎,相信只要有过开发…

Name                                             Disclosure Date  Rank    Description ----                                             ---------------  ----    -----------    aix/hashdump                                                      normal  A…