今天所做的努力
都是在为明天积蓄力量

WEB安全

网站被镜像后期溯源查找镜像来源1

琴子小白阅读(56)评论(0)赞(0)

之前网站被镜像虽然处理了:怎么处理网站被镜像,无法获取采集来源ip,通过js进行跳转防采集,但是还是很不甘心,在想能不能找到他抓取来源的ip。 先检测一下域名whois查看是哪里注册的,域名所有者是谁? 在https://x.threatb...

CMS核心文件篡改效验程序使用操作说明-流觞

CMS核心文件篡改效验程序使用操作说明

琴子小白阅读(96)评论(0)赞(1)

说明 这个程序主要是用户减小,查网站挂马,清理挂马查找核心文件被被篡改的工作量,能很大的提高工作效率 一、创建效验数据库 运行sqlite数据库生成.exe,生成新的效验数据库, 如果之前已经创建来看对应的效验数据库,可以跳过此步骤,或者重...

使用exp进行SQL报错注入-流觞

使用exp进行SQL报错注入

琴子小白阅读(104)赞(0)

此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践 from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-...

nginx 基本安全优化-流觞

nginx 基本安全优化

琴子小白阅读(186)赞(0)

1、隐藏nginx版本号,可以预防针对性的版本漏洞攻击。 语法: server_tokens on | off; #默认是on 可以添加的位置分别是http server location区 2、若要隐藏nginx的软件名,那么需要修改源码...

hidden属性的input.MD-流觞

hidden属性的input.MD

琴子小白阅读(259)评论(0)赞(0)

今天看到一个XSS漏洞,插入点在一个有hidden属性的input 标签,大致情况如下: 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于...

XXS绕过htmlspecialchars-流觞

XXS绕过htmlspecialchars

琴子小白阅读(274)评论(0)赞(0)

xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name = htmlspecialchars($name); ?> <...

利用.htaccess添加X-frame-options响应头

琴子小白阅读(281)评论(0)赞(0)

360网站安全检测结果提示[轻微]X-Frame-Options头未设置,官方的解决方法如下: 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframe或frame中。 ...

CSRF攻击与Yii2

琴子小白阅读(295)评论(0)赞(0)

CSRF攻击: 跨站请求伪造 攻击原理: 攻击者引导受害者访问其指定的URL, 以受害者的身份名义(cookie)发送恶意请求, 执行某些能改变数据的操作. 攻击场景举例: 受害者登录了a.com, 浏览器保存a.com对应的cookie,...

AWVS12 介绍和安装详解-流觞

AWVS12 介绍和安装详解

琴子小白阅读(693)评论(0)赞(7)

一、AWVS介绍 Acunetix Web Vulnerability Scanner,简称:AWVS,是一个自动化的Web安全测试工具,它可以扫描Web站点和Web应用。AWVS可以快速扫描SQL注入,XSS攻击,目录遍历,文件入侵,PH...