Finger
一只孤独的代码狗/程序猿/攻城狮
最近一直在琢磨方向和产品的事情,通过拉勾、智联招聘、it桔子、36kr、google等网站,几乎看遍国内外所有安全公司方向及产品,从这些公司活着的状态,思考清楚不少问题。 首先关于方向。 T…
2016-08-24 1 Comment
1. 初步分析 1.1 源码下载 提示有源码下载sgbmwww.rar,先打包回来。 1.2 功能简述 前台功能比较简单,就一个留言处+上传。提示是”寻找后台之旅”,一开始我以为就是XSS打管理员后台什么的,…
2016-08-22 1 Comment
sqlmap payload简单分析(B E T U S) 前言 本文介绍sqlmap在各个场景中的payload格式,简单分析判断的的原理,也是自己学习过程中的记录。 在看本文前,建议看一下drops中的其它文章,源…
2016-08-16 0 Comment
1. 目标环境  Linux服务器受到防火墙限制,外网只能通过80端口访问内部 内网疑似只能返回HTTP的流量,无法采用反向代理的形式。这样看来,有点像DMZ主机+防火墙限制 Linux内核版本为2.6.1…
2016-08-12 0 Comment
0x0  写在前 今天给大家写一下运用sqlmap实战演示检测网站,下面网站url我会尽量缩写和打乱,但是这是一个真实存在的站点,只是不希望发出来大家去造成太大的破坏,而且本教程只是提供对sql…
2016-08-11 0 Comment
一款集成sqlmap到burpsuite中的插件(整合两大神器),在网上寻找类似的插件,发现了一款:https://code.google.com/p/gason/,不过对windows支持并不好,于是自己动手开发一款。 配置: …
2016-08-08 1 Comment
2016-08-06 1 Comment
收集了一些利用Sqlmap做注入测试的TIPS,其中也包含一点绕WAF的技巧,便于大家集中查阅,欢迎接楼补充、分享。 TIP1 当我们注射的时候,判断注入 http://site/script?id=10 http://site/sc…
2016-08-05 0 Comment
0×01 背景 做为一只甲方安全汪,平时工作很多系内部业务复杂,查询功能较多,此时任意功能都可能存在注入点。使用自动化扫描工具awvs,可以通过爬虫爬完所有页面,但现在很多的请求写在aja…
2016-08-03 0 Comment
搜狐某处Flash XSS漏洞分析 1.1 swf地址 swf链接:http://ftx.bai.sohu.com/bcastr.swf?bcastr_xml_url=xml/bcastr_v1.xml 1.2 反编译得到源码 1.3 初步分析 actionscript分…
2016-07-27 1 Comment