bypass
bypass_个人页
bypass
文章
110
问答
0
视频
0
个人介绍
一个网络安全爱好者
擅长的技术
- 容器
- Linux
-
发表了文章 2016-06-15
urlscan使用详解
0x01 简介与下载 URLScan是集成在IIS上的,可以制约的HTTP请求的安全工具。通过阻止特定的HTTP请求,URLScan安全工具有助于防止潜在的有害的请求到达服务器上的应用。 最新版URLScan 3.1,支持IIS 5.1,IIS 6和IIS 7在Windows Vista和Windows Server 2008。
-
发表了文章 2016-05-28
SQL注入测试平台 SQLol -6.CHALLENGES挑战
SQLol上面的挑战共有14关,接下来我们一关一关来突破。 Challenge 0 目的是让查询返回所有的用户名,而不是只有一个。 SELECT username FROM users WHERE username = 【'1'】 GROUP BY username ORDER BY username ASC 注入点在【1】处 构造POC: 1' or 1=1# 或者 1' and 1=2 union select username from users# 都可以查询到所有的用户名。
-
发表了文章 2016-05-26
SQL注入测试平台 SQLol -5.DELETE注入测试
访问首页的delete模块,http://127.0.0.1/sql/delete.php,开始对delete模块进行测试。 delete语法: DELETE FROM 【users】 WHERE 【username】 = 【'1'】 几个位置都可能存在注入,这里只演示一种。
-
发表了文章 2016-05-26
SQL注入测试平台 SQLol -4.UPDATE注入测试
访问首页的update模块http://127.0.0.1/sql/update.php,开始对update模块进行测试。 update语法: UPDATE 【users】 SET 【username】 = 【'haxotron9000'】 WHERE username = 【'1'】 接收的参数可能拼接到上述语句中【】的任一个位置,4个位置,共有5种不同的类型。
-
发表了文章 2016-05-26
SQL注入测试平台 SQLol -3.INSERT注入测试
访问首页的insert模块,http://127.0.0.1/sql/insert.php,开始对insert模块进行测试。 insert语句: INSERT INTO 【users】 (【username】, isadmin) VALUES (【'1'】, 【0】) 接收的参数可能拼接到上述语句中【】的任一个位置。
-
发表了文章 2016-05-23
SQL注入测试平台 SQLol -2.SELECT注入测试
前面,我们已经安装好了SQLol,打开http://localhost/sql/,首先跳转到http://localhost/sql/select.php,我们先从select模块进行测试。 一条完成Select语句,大致可以这样表示: SELECT 【username】 FROM 【users】 WHERE username = 【'1'】 GROUP BY 【username】 ORDER BY 【username ASC】 [having 【1=1】 ][limit 【0,1】 ] 接收的参数可能拼接到上述语句中【】的任一个位置。
-
发表了文章 2016-05-22
SQL注入测试平台 SQLol -1. 简介与安装
最近下载了SQLol测试了一下,感觉挺好玩的,做一下记录。 SQLol是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句,SQLol还是比较有创意的项目。
-
发表了文章 2016-05-12
Tomcat配置文件详解
在Tomcat安装目录中,conf存放关于Tomcat服务器的全局配置,其中tomcat-users.xml、server.xml、web.xml。 tomcat-users.xml 配置 一:tomcat6配置管理员信息 1:打开tomcat6下的 /conf/tomcat-users.xml文件,关于用户角色、管理员的信息都在这个配置文件中。
-
发表了文章 2016-05-08
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。
-
发表了文章 2016-04-28
window IIS6/IIS7取消脚本执行权限,禁止运行脚本木马
网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,可写入的目录如: data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,本篇将针对不同服务器环境来介绍如何取消这些目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。
暂无更多信息
-
发表了文章
2018-07-09
利用powershell进行windows日志分析
-
发表了文章
2018-07-03
Websphere安装配置与项目部署
-
发表了文章
2018-06-28
weblogic 安装部署详解
-
发表了文章
2018-06-18
window下JBoss7 安装部署
-
发表了文章
2018-06-11
利用开源软件打造一个团队贡献平台
-
发表了文章
2018-06-10
我的WAF Bypass实战系列
-
发表了文章
2018-06-09
Web暴力破解--前端JS表单加密进行爆破
-
发表了文章
2018-06-06
Bypass 护卫神SQL注入防御(多姿势)
-
发表了文章
2018-06-05
Bypass ngx_lua_waf SQL注入防御(多姿势)
-
发表了文章
2018-06-04
打破基于OpenResty的WEB安全防护(CVE-2018-9230)
-
发表了文章
2018-06-04
Bypass X-WAF SQL注入防御(多姿势)
-
发表了文章
2018-05-11
Burp Post、Get数据包转为上传multipart/form-data格式数据包
-
发表了文章
2018-05-04
【代码审计】任意文件删除漏洞实例
-
发表了文章
2018-04-21
文件完整性hash验证demo(python脚本)
-
发表了文章
2018-04-20
浏览器指纹定位攻击路径实例
-
发表了文章
2018-04-15
【代码审计】任意文件读取漏洞实例
-
发表了文章
2018-04-15
【代码审计】后台Getshell的两种常规姿势
-
发表了文章
2018-04-11
XSS三重URL编码绕过实例
-
发表了文章
2018-04-05
代码审计之DocCms漏洞分析
-
发表了文章
2018-03-26
开源漏洞检测框架收集
滑动查看更多
暂无更多信息
暂无更多信息