以下内容撰写于2014年6月26日上午，由于时间精力关系，当时只写了一半，搁置了大半个月，后来在乌云的一个帖子中发现了一模一样的大规模钓鱼行为（帖子内容见底下）。

在上一篇上传文件的陷阱(http://drops.wooyun.org/tips/2031)当中,作者提到对于flash的跨域数据 劫持,有时并不需要我们去上传一个文件。因为我们可以简单的利用JSONP接口,将flash的内容赋[email protected]样,利用JSONP的部分确实可以看作是整个 文章的“高潮点”。因为在多数情况下:

1. oracle一个实例就是一个数据库，创建一个新的数据库会产生一个新的实例，并且一个实例独立运行一个进程。
2. 一个用户对应一个方案，当用户新建一个数据对象（比如表）之后会在此方案下面。自己访问可以直接访问，其他用户访问需通过“方案名.对象名”的方式。
3. 用户默认拥有自己方案下面的数据对象的权限，其他用户无相应权限。sys，system默认拥有所有方案的权限。

来自Duo Security高级研究团队Duo Labs的人员，发现有可能绕过PayPal的双重验证机制（用PayPal自己的话来说是Security Key机制）。研究人员发现在PayPal的API web service（api.paypal.com）里存在一个认证方面的缺陷，包括PayPal自己官方的移动应用和很多第三方应用都会用到这个API

随着科技发展，手机的智能化也逐渐的进步。同时移动终端又成为了黑客们热衷与捣腾的一块乐土。

如今几乎每人一部智能手机，让手机病毒和针对手机软件攻击的漏洞是如鱼得水一般。

下面我就给各位对比一下两款比较有名的安卓下的安全工具。

发送一个你想csrf_token的请求到intruder。

AWVS提供了自定义的脚本编程接口，可是网上的资料很少，只有官方的几篇介绍和参考手册，最近研究了一下怎么编写AWVS的漏洞脚本来写一篇简单性的文章，大家有兴趣的可以交流。

在2014年6月18日@终极修炼师曾发布这样一条微博：

1.MongoDB安装时不添加任何参数,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库，需以--auth参数启动。

2.在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息。当admin.system.users一个用户都没有时，即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.system.users中添加了一个用户。

这篇文章可以作为渗透测试人员和安全工作者运用Shodan搜索引擎的指南，同时有助于理解其工作原理和达到安全审计目的。文章也列举出找到大量有风险的互联网服务及其设备的步骤和方法。同时介绍了Shodan能用初级筛选语法以及Shodan和其他工具的联合运用。主要适用于渗透测试的数据收集阶段。

CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。

当在测试某些网站注入时我们会遇到token，只能手工或者写工具之后进行自动化处理,就sqlmap和burpsuite而言各有各的方法。

这两天一个客户反映自己的网站经常出现mysql 1040错误，他的在线用户才不到一千，mysql配置也没问题，vps用的时linode160+刀一个月的。

没理由出现这种情况，于是，我进行了一系列的排查。top了一下，mysqld跑到了900%多。

当你在一个bash命令行中输入“*”时，bash会扩展到当前目录的所有文件，然后将他们全部作为参数传递给程序。例如：rm *，将会删除掉当前目录的所有文件。

看了各种文章讲神器mimikatz，但是一直没有讲与metasploit使用的。Metasploit其实早就集成了mimikatz，现在将官方的文章翻译给大家。

Mimikatz是Benjamin Delpy (gentilkiwi)写的非常棒的一款后渗透测试工具。在最初渗透阶段之后的大多数时间里，攻击者们可能是想在计算机/网络中得到一个更坚固的立足点。这样做通常需要一组补充的工具。Mimikatz是一种将攻击者想执行的、最有用的任务捆绑在一起的尝试。