花了几个小时做了一下moctf,整理了几个当时没做出来的题 unset 代码中涉及了几个函数。 1.waf 这个函数中对于$a的限制即$a中不能出现"flag", 2. foreach:用来遍历数组。 这一段是核心的部分,遍历数组,存放在临时变量$__R中,$$__R也就是$__R的值,$__R作为 ...
分类:
其他好文 时间:
2019-05-03 14:23:16
阅读次数:
145
安全狗上传绕过 思路: 1.扰乱编码 form-data 替换成 ~form-data form-data 改成 f+orm-data form-data 改成 form-d+ata form-data 替换成 " filename="xxx" 改成 filename=xxx; 增减空格 对Cont ...
分类:
Web程序 时间:
2019-05-03 09:37:15
阅读次数:
384
近年来,自从DDoS***逐渐演化变的强大起来后,涉及的领域越来越广泛,比如游戏,医疗,政府,网站,APP,金融以及一些支付交易平台等,其中游戏和金融,网站成为了DDOS***的重灾区。前面分享了有关企业的防护措施,今天墨者安全主要针对金融行业被DDOS实施***需要做什么样的防护策略做以简单的观点分享。为什么会***金融行业呢?大家都知道金融就是代表金钱嘛!如今谁敢说自己不喜欢又不需要钱呢?当然有的人不
分类:
其他好文 时间:
2019-04-30 18:30:45
阅读次数:
165
目前越来越多的服务器被DDOS流量攻击,尤其近几年的DNS流量攻击呈现快速增长的趋势,DNS受众较广,存在漏洞,容易遭受到攻击者的利用,关于DNS流量攻击的详情,我们来大体的分析一下,通过我们SINE安全这几年的安全监控大数据来看清DNS的攻击。一种是DNS路由劫持攻击,一种是DNS流量放大攻击。 ...
分类:
Web程序 时间:
2019-04-30 14:16:17
阅读次数:
630
昨天一个政府的站长告诉墨者安全,他想要做一个网络安全防护,因为网站设计到了支付这一块的业务,所以要做网络安全防护,想要实时监测,如果有***发生需要第一时间知道情况。墨者安全告诉他可以的,那今天就讲讲企业网站怎么才能防御DDOS***?
分类:
Web程序 时间:
2019-04-29 17:33:19
阅读次数:
160
2019年4月4日,阿里云安全应急响应中心监测到Confluence 官方发布安全更新指出,Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞实现目录穿越遍历甚至远程命令执行。4月10日远程命令执行PoC被公开,阿里云监测到此漏洞被大规模利用,4月12日凌晨攻击流量达到第二 ...
分类:
其他好文 时间:
2019-04-23 17:17:45
阅读次数:
157
近期的网络***有些频繁,晚上凌晨左右一般会接好几个电话,反映的都是不同的网络***。有些病毒***不在我们的解决范围内,今天墨者安全主要针对DDOS***,CC***防御的等给大家分享一些常见的网络***类型
分类:
其他好文 时间:
2019-04-13 17:45:43
阅读次数:
145
俗话说只要思路宽,绕狗绕的欢。前段时间我有尝试着用以下的方法绕狗,效果还不错。不过这方法呢也许这段时间可以绕过,过段时间可能就失效了,大家还是要多去尝试找到更多的方法。 举例-->整型注入 绕过WAF 绕过方法: 就是修改大小写 加%0a 或%0d去绕过(%0a是换行,%0d是回车) 如: and ...
分类:
其他好文 时间:
2019-04-12 23:25:54
阅读次数:
360
题目: 1297: Tr0y And His Startup 题目描述 Tr0y创办了一家安全公司,主要提供抗DDoS服务。假设有n家公司共用Tr0y的第三方服务器,各公司初始最大承受带宽为xi Gbps,当其受到大于或等于最大承受带宽流量时,会判断为DDoS攻击并进行清洗操作,将流量引到第三方服务 ...
分类:
其他好文 时间:
2019-04-08 13:46:09
阅读次数:
153
信息收集之主动信息收集(二) 1.SNMP扫描 2.SMB扫描 3.SMTP扫描 4.防火墙识别 5.WAF识别 6.负载均衡识别 一、SNMP扫描 SNMP 简单网络管理协议,经常被错误的配置,信息的金矿 SNMP服务是使用明文传输的,即使不能通过community进行查询,也有可能使用抓包嗅探的 ...
分类:
其他好文 时间:
2019-04-08 01:20:13
阅读次数:
264
