Web安全研究人员是如何炼成的

原文:https://portswigger.net/blog/so-you-want-to-be-a-web-security-researcher 序 您是否有志于推动Web安全技术的发展,并与信息安全社区分享相关知识呢?在这篇文章中,我将为读者分享与Web安全研究有关的各种建议,当然,这些建议...

阅读全文>>

任意文件读取常见利用路径

C:/boot.ini //查看系统版本 C:/WindowsSystem32inetsrvMetaBase.xml //IIS配置文件 C:/Windowsrepairsam //存储系统初次安装的密码 C:/Program Filesmysqlmy.ini //Mysql配置 C:/Program Filesmysqldatamysqluser.MYD //Mysql root C:/Windowsphp.ini //php配置信息 C:/Windowsmy.ini //...

阅读全文>>

使用K-means对网站访问者进行聚类

在分析Web日志流程中,寻找可疑请求、寻找异常访问者为分析流程中的基础流程,传统的做法是使用正则进行筛选,而这些正则则是通过我们已知的安全经验编写出来的,此时我们可以通过尝试一些新的方法~ 一、数据准备 同...

阅读全文>>

Struts 052 - REST插件远程代码执行[Poc]

漏洞影响 Struts 2.5 – Struts 2.5.12 版本, 漏洞概述 Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。任意攻击者都可以构造恶意...

阅读全文>>

子域名、C段、同IP服务器查询工具1.0

之前搞了一个子域名查询的接口,由于数据太多服务器太渣,查询请求太多总是挂... 于是写了一个接口,做了一定限制,搞了一个简单查询的工具,直接上图: 虽然是学过java的人,但是以前很少写Swing,所...

阅读全文>>

个人项目&工具导航

最近经常有人问我要脚本、工具啥的..其实你们仔细找找,就能找到。不过为了照顾小白,在此文章建立导航。 0.Web信息收集工具 地址:http://jeary.org/post-4.html 说明:此工具为初学c#所写,所以有些地方有bug,...

阅读全文>>

在线子域名、C段、同IP服务器查询[2016.5.9更新]

自从用习惯shodan、zoomeye等成熟的产品,意识到了数据的价值和重要性,于是开始尝试自己折腾,搭建数据检索系统,此域名查询系统为学习项目,仅为Demo版本,开放测试版本,不断完善中。 上图: ...

阅读全文>>