0x00 简介验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于蚁穴,有些时候如果能绕过验证码,则可以把手动变为自动,对于Web安全检测有很大的帮助。全自动区分计算机和人类的图灵测试(英语:Completely Automat...
分类:
其他好文 时间:
2014-10-30 22:26:05
阅读次数:
320
1.概要: 为什么不直接为EditTText设置一个点击监听器,而非要使用Button呢? 答案是:使用Button更安全,因为用户无法修改Button的文本内容。如果使用EditText,并且只设置了点击监听器,用户可以通过光标获取该 控件的焦点,这样便可以绕过DatePicker控件直接修改E....
分类:
其他好文 时间:
2014-10-29 12:08:52
阅读次数:
138
Docker 中的数据管理主要有 2 个方法,数据卷和数据卷容器数据卷数据卷是一个可供一个或多个容器使用的特殊目录,它绕过 UFS,可以提供很多有用的特性:数据卷可以在容器之间共享和重用对数据卷的修改会立马生效对数据卷的更新,不会影响镜像卷会一直存在,直到没有容器使用数据卷的使用,类似于 Linux 下对目录或文件进行 mount。创建数据卷在用 「docker run」 命令的时候,使用 -v...
分类:
其他好文 时间:
2014-10-23 17:46:55
阅读次数:
308
在论坛等平台中,上传各种附件是必不可少的功能,往往也是黑客们容易攻击的地方。在上传专题中,与大家分享一些关于如何破解上传,以及如何防御,通过两者的博弈方式,体现出上传附件攻防的微妙之处。1.概述本文介绍前端过滤上传附件扩展名,如何使用burosuite绕过前端过滤,上..
分类:
Web程序 时间:
2014-10-22 18:33:40
阅读次数:
274
通过建立本地SSH隧道,我们成功地绕过防火墙开始下载FTP上的资源了。那么当我们在家里的时候想要察看下载进度怎么办呢?大多数公司的网络是通过路由器接入互联网的,公司内部的机器不会直接与互联网连接,也就是不能通过互联网直接访问。通过线路D-B-A访问公司里的机器a便是不可能的。也许你已经注意到了,虽然...
分类:
其他好文 时间:
2014-10-22 17:32:50
阅读次数:
270
对生产环境进行测试是不得不做的事,但又是谁都不想做的事情,对吗? 如果一个粗心,可能会瞬间产生某些难以预料的损害. 如果一切顺利,你会觉得 "为什么还要冒这个险呢?我应该在模拟环境做这种事,然后收工!" 好吧,我们不能在生产环境绕过自动测试与人工测试,下面这张图似乎就代表了做生产环境测试的那种感觉...
分类:
其他好文 时间:
2014-10-22 10:06:09
阅读次数:
195
0x00
在\includes\modules\payment\alipay.php文件中,有一个response函数用来处理支付信息,在ECSHOP的init初始化文件中,默认是做了全局转义的,而这个漏洞的精髓在于绕过全局转义。
在$order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);...
分类:
数据库 时间:
2014-10-21 13:53:51
阅读次数:
311
Subversion1.7或者更旧版本,主要使用一个磁盘缓存解决方案用来缓存认证凭证。 Subversion1.8中,其配置文件($HOME/.subversion/config)允许--disable-plaintext-password-storage选项绕过存储明文和客户端口令...
分类:
其他好文 时间:
2014-10-17 10:29:27
阅读次数:
262
Docker 中的数据管理主要有 2 个方法,数据卷和数据卷容器数据卷数据卷是一个可供一个或多个容器使用的特殊目录,它绕过 UFS,可以提供很多有用的特性:数据卷可以在容器之间共享和重用对数据卷的修改会立马生效对数据卷的更新,不会影响镜像卷会一直存在,直到没有容器使用数据卷的使用,类似于 Linux 下对目录或文件进行 mount。创建数据卷在用 「docker run」 命令的时候,使用 -v ...
分类:
其他好文 时间:
2014-10-17 10:15:13
阅读次数:
171
关于前一阵的SSL“心血”漏洞我想大家一定不会太陌生,漏洞出来之后,各家都组织人马忙东忙西。该分析的分析,该打补丁的打补丁。可悲的的是尽管补了却还是可以绕过弄得大家精疲力竭。可悲的的是尽管补了却还是可...
分类:
其他好文 时间:
2014-10-16 15:04:22
阅读次数:
159
