Top 10 Security Risks for 2014

瞌睡龙 / 2014-08-06

以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。

Memcache安全配置

瞌睡龙 / 2014-01-20

Memcache是一个高性能的分布式的内存对象缓存系统,通过在内存里维护一个统一的巨大的hash表,它能够用来存储各种格式的数据,包括图像、视频、文件以及数据库检索的结果等。简单的说就是将数据调用到内存中,然后从内存中读取,从而大大提高读取速度。

Attacking MongoDB

瞌睡龙 / 2014-01-10

本文主要来自于HITB Ezine Issue 010中的《Attacking MongoDB》

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。他支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是他支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。

WordPress 3.5.1远程代码执行EXP

瞌睡龙 / 2013-12-12

(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台……感谢horseluke帮忙测试并翻译EXP与总结部分。)

电商网站的安全性

瞌睡龙 / 2013-11-19

电商网站由于是直接涉及到金钱的交易,对其本身的安全性要求很高。
这样才能保证普通网民在其网站做金钱交易的时候,不会发生安全问题。
双11刚过,看着那一个一个突破以往的数字,让人惊叹网购的力量。

针对TP-LINK的CSRF攻击来劫持DNS案例

瞌睡龙 / 2013-10-31

路由被CSRF攻击,修改DNS的话题最近一直比较活跃,但是国内貌似没有一个技术文章详细的分析此漏洞,漏洞成因比较简单,本篇来科普一下。

本篇讲得是一个利用CVE-2013-2645的漏洞,来修改TP-LINK的DNS案例,针对其他路由的攻击大同小异。

老外的一份渗透测试报告

瞌睡龙 / 2013-09-10

过程还是很精彩的~

本次测试的域名为:megacorpone.com

先查看一下其DNS服务器:

邮箱伪造详解

瞌睡龙 / 2013-08-29

邮箱伪造技术,可被用来做钓鱼攻击。
即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。

从乌云看运维安全那点事儿

瞌睡龙 / 2013-08-08

运维安全属于企业安全非常重要的一环。

这个环节出现问题,往往会导致非常严重的后果。

本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点。

Hacking weblogic

瞌睡龙 / 2013-08-01

此篇文章介绍攻击者如何利用默认密码对weblogic攻击。

sqlmap用户手册[续]

瞌睡龙 / 2013-07-31

《sqlmap用户手册》其实只写了大部分可能用到的参数,还有些并未写,这次补上~

ps:其实看到zone里很多问sqlmap的问题在通读看完那篇文章后都能解决。可惜啊,现在的人通读看文章的耐心都没有了,遇到了哪个问题就想起针对这个问题求助,却不知道仔细看完之后,以后可以省多少时间来求助,吐槽完毕,正文开始:

SVN安装配置及安全注意事项

瞌睡龙 / 2013-07-30

Subversion,简称SVN,是一个开放源代码的版本控制系统,相对于的RCS、CVS,采用了分支管理系统,它的设计目标就是取代CVS。互联网上越来越多的控制服务从CVS转移到Subversion。

Subversion的官方网站是:http://subversion.tigris.org/

终端机的安全性

瞌睡龙 / 2013-07-24

如今触摸屏设备涉及领域越来越多,深深的融入到了我们的日常生活中。

比如大家都熟知的ATM取款机,到水电费缴纳机、优惠券打印机、交通路线查询机、商城导购机、登机牌打印机甚至电动游戏机,都已经采用触屏技术。

话说这人来人往,人见人摸的设备安全性如何呢?

JBoss安全问题总结

瞌睡龙 / 2013-07-23

JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。

它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。

因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。

瞌睡龙

fighting……

twitter weibo github wechat

随机分类

浏览器安全 文章:36 篇
渗透测试 文章:154 篇
Exploit 文章:40 篇
前端安全 文章:29 篇
Windows安全 文章:88 篇

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮