搜索精彩内容
包含"security soc"的全部内容
php7 + nginx + mysql 安装小计
【过年了,每天发一篇以前的存货,一共七篇。】 思路是,先用源,安装好php5和php5所依赖的所有项目,再安装phpbrew,通过phpbrew管理php版本,并安装7.0.0。 首先安装一些依赖 apt-get install...
掌阅iReader某站Python漏洞挖掘
Python作为新一代的web开发语言,不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务,我们结合这些服务的一系列安全问题,将可以做很多...
Destoon 6.0 guestbook.php 通用SQL注入漏洞
补丁分析 刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。 我们先看看diff(左新右...
利用代理上ipv6网站
今天跟公司的前端师傅学了一招,十分有趣,分享一下。 自从毕业以后,再想上IPV6上的一些PT站就比较困难了。但其实是可以借助一些代理工具来辅助转到IPV6里的,比如shadowsocks。 Shadowsocks是...
Supervisord远程命令执行漏洞(CVE-2017-11610)
前几天Supervisord出现了一个需认证的远程命令执行漏洞(CVE-2017-11610),在对其进行分析以后,将靶场加入了Vulhub豪华套餐: https://github.com/phith0n/vulhub/tree/master/supervisor/CVE...
python http.server open redirect vulnerability
Github账号被封了以后,Vulhub也无法继续更新了,余下很多时间,默默看了点代码,偶然还能遇上一两个漏洞,甚是有趣。 这个漏洞出现在python核心库http中,发送给官方团队后被告知撞洞了,且官...
Real World CTF 2018 bookhub 总结
挖坑必须填,虽然已久过去比较久了,但是我还是得简单写一下。 这个题目一共4个考点,文中图借用了参赛者的WP。 信息搜集 我一向出代码审计相关的题目,所以一般都直接给源码。打开源码,并简单...
创建不做身份鉴定的HTTPClient发送HTTPS的POST请求的工具类,解决异常:sun.security.validator.ValidatorException: PKIX path vali
https和http的区别 引用路径:HTTP和HTTPS的区别 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加 密,如果攻击者截取...
sprintf函数的使用
学C语言的同学对printf函数都不陌生。从世界上第一个程序(我认为的)'hello world”到你手里正写的某个程序,都少不了printf的影子。不过你也许不知道,printf还有一些兄弟——比如wprintf、spri...
批处理自动设置代理服务器
BurpSuite含有强大的抓包改包功能,不过改包前需要设置代理,通过Burp指定的端口发包。有时候切换起来很麻烦,我们可以写一个批处理通过更改注册表快速切换代理状态。 ...