0x00 起 前一段时间,因为工作原因接触到XSS漏洞检测。前人留下的锅,是采用pyqt webkit来解析网页内容。作为Python webkit框架,相比于PhantomJS,pyqt在捕获错误,重载函数等方面有比较多的优势,但pyqt也有很有缺点:占用资源较多、底层解析还是用C++,许多错误是 ...
分类:
其他好文 时间:
2016-08-19 12:52:59
阅读次数:
260
小米范越权漏洞检测工具主要是检测网站越权漏洞的工具。 原理: 此工具内置了三个浏览器,三个浏览器完全独立,目前采用的是chrome内核,我们可以为三个浏览器使用不同的用户登录目标网站,或者 为三个浏览器设置不同的cookie,然后让他们同时去访问同一个url或者发送同样的请求,观察三个浏览器的页面变 ...
分类:
移动开发 时间:
2016-06-28 20:24:23
阅读次数:
257
来源:http://www.secbox.cn/hacker/client/6450.html 代码太乱 仅把代码整理了下..找了2台测试,都显示socket .timed out ...
分类:
其他好文 时间:
2016-06-19 01:18:51
阅读次数:
571
黑客利用该漏洞,可以执行任意代码,甚至可以不需要经过认证,就能远程取得系统的控制权,包括执行恶意程序,或在系统内植入木马,或获取敏感信息。而且,Bash从Bash1.14到Bash4.3版本全部存在该漏洞。检测脚本:#!/bin/bash
EXITCODE=0
#CVE-2014-6271
CVE20146271=$(env‘x=(..
分类:
其他好文 时间:
2016-06-15 12:53:05
阅读次数:
311
简单来说openvas是一个开源的漏洞检测扫描软件openvas-manager(openvasmd)9390openvas-scanner(openvassd)9391Greenbonesecurityassitant(gsad)9392其实安装很简单,但我第一次搞了好久。主要就是安装脚本跟检测脚本http://www.openvas.org/install-packages.html这是下..
分类:
其他好文 时间:
2016-06-04 18:03:50
阅读次数:
383
lynis 安全漏洞检测工具 https://cisofy.com/download/lynis/ 命令 :sudo ./lynis --check-all -Q sudo grep Warning /var/log/lynis.log sudo grep Suggestion /var/log/l ...
分类:
系统相关 时间:
2016-04-25 13:22:40
阅读次数:
240
这是一个基于python的批量漏洞检测框架。 同时也供初学者一个参考。 和以往的POC一样,该框架只要搭配上POC就能进行批量的扫描。 其具体的策略,以及使用说明可以在源码里可以看到。 如果想要添加多线程,可以自己稍微改一下就可以了。 源码地址:https://github.com/nanshihu ...
分类:
其他好文 时间:
2016-03-26 15:22:03
阅读次数:
125
漏洞编号:CVE-2014-3566POC如下:import ssl,socket,sysSSL_VERSION={ 'SSLv2':ssl.PROTOCOL_SSLv2, 'SSLv3':ssl.PROTOCOL_SSLv3, 'SSLv23':ssl.PROTOCOL_SSLv23, 'TLSv...
分类:
其他好文 时间:
2015-11-29 16:27:22
阅读次数:
3108
0x00 索引说明6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。0x01 身份认证安全1 暴力破解在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.w...
分类:
其他好文 时间:
2015-11-06 19:28:15
阅读次数:
201
Web系统的构建有很多语言,不过对Web系统安全做检测大概也差不多,以前没有接触过这方面的知识,所以呢,也就不能说太深 我们主要是做了两个事,一个是SQL注入,一个是XSS漏洞检测,网上资料很多,都对他们的原理做了一个很详细的说明,如果你搜XSS漏洞语句大全,你还是会很震惊的。。。不过,说到代码部分...
分类:
Web程序 时间:
2015-09-22 18:35:35
阅读次数:
226
