最新文章

攻击JavaWeb应用[4]-SQL注入[2]

攻击JavaWeb应用[4]-SQL注入[2]

渗透注入 9小时前

注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没法看,所以就分开了。 0x00 Oracle Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。 Oracle对于MYSQL、MSSQL来说意味着更大的数据量,更大的权限。这一次我们依旧使用上面的代码,数据库结构平移到Orac

攻击JavaWeb应用[3]-SQL注入[1]

攻击JavaWeb应用[3]-SQL注入[1]

渗透注入 2天前

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。 JPA: JPA全称Ja

Google 透露开发 Fuchsia OS 的意图

Google 透露开发 Fuchsia OS 的意图

Google 正在开发的实验性操作系统 Fuchsia OS 是否将取代 Android 或 Chrome OS?这是很多人对它的最大疑问。 在 Google I/O 开发者大会上,负责 Android 和 Chrome 的高管 Hiroshi Lockheimer 阐述了 Fuchsia OS 的意图: 不是想成为新 Android 或 Chrome OS,而是尝试在操作系统中引入最新技术,将项

半壁江山被端!全球暗网市场面临洗牌

半壁江山被端!全球暗网市场面临洗牌

互联网最新资讯 1周前 (05-15)

华尔街一词一直很受精英阶层青睐,华尔街日报、华尔街之狼、华尔街上市。无独有偶,暗网的运营者们也看上了这个词,并搭建了一个名为“华尔街市场”的暗网平台。 5月3日,华尔街市场(简称WSM)全球第二大暗网黑市也走上了被查封的老路:三名网站管理者被抓,网站被关停。一时间满城风雨,议论纷纷。 暗网入口关闭 本文,妮美将带大家一起来了解下华尔街市场关停被捕的始末。 一、华尔街市场——非法商品集合地 美国的检

甲骨文大败局:中国区大裁员 错失了云计算机会

甲骨文大败局:中国区大裁员 错失了云计算机会

互联网最新资讯 1周前 (05-14)

一场突如其来的裁员席卷了甲骨文的中国分公司。 风光不再,在全球一度拥有超过 50% 数据库市场的美国软件巨头甲骨文,在 5 月 7 日下发了裁撤中国区研发中心 1600 人的通知,这意味着自 1989 年正式进入中国 30 年后,甲骨文将陆续关闭其在深圳、北京、上海、苏州、南京和大连等地相继成立的研发中心,只留下以销售为主的业务体系。 时代周报记者从甲骨文内部获悉,到今年年底甲骨文中国区研发中心将

TCP连接为什么是三次握手,而不是两次握手,也不是四次握手?

TCP连接为什么是三次握手,而不是两次握手,也不是四次握手?

路由器 1周前 (05-14)

乔哥:你说“喂喂喂,能听到我说话吗?”,是第一次握手,也就是说小萌你的发送消息的能力没有问题,然后我回了你一句“小萌,我可以听到你说话,你能听到我说话吗?”这是第二次握手,我回了你一句,说明了我可以听到你说话(说明了我具有接受消息的能力),我对你说了“你能听到我说话吗”也说明了我这里也有可以发送消息的能力。到第二次握手结束,说明了我具有发送消息和接受消息的能力,小萌你具有发送消息的能力。然后你说“

如果我是一线技术Leader……

如果我是一线技术Leader……

互联网最新资讯 1周前 (05-13)

技术主管和团队成员应该是什么关系?只能是普通的领导与被领导的关系吗?如果,你作为一个一线技术主管,你会怎么管理团队? 今天我们试试换位思考,假设自己是技术主管,反推团队成员如何做事才能获得更好的成长。 如果我是一线技术主管,那我可能是团队曾经综合实力最强的,我可能会被时间支配而不能再天天写代码,并且,团队充满各种挑战。 如果我是一线技术主管,依然是每周要写周报,每年要写绩效,想晋升,想加薪、想人生

如何共享数据?- 每天5分钟玩转 Docker 容器技术(41)

如何共享数据?- 每天5分钟玩转 Docker 容器技术(41)

每天5分钟Docker 2周前 (05-09)

数据共享是 volume 的关键特性,本节我们详细讨论通过 volume 如何在容器与 host 之间,容器与容器之间共享数据。 容器与 host 共享数据 我们有两种类型的 data volume,它们均可实现在容器与 host 之间共享数据,但方式有所区别。 对于 bind mount 是非常明确的:直接将要共享的目录 mount 到容器。具体请参考前面 httpd 的例子,不再赘述。 doc

小窥TeslaCrypt密钥设计

小窥TeslaCrypt密钥设计

渗透注入 2周前 (05-09)

0x00 简介 最近群里提到TeslaCrypt的作者放出了主密钥,简单看了下,对他的加密流程比较感兴趣。受条件限制,没有拿到早期样本(只拿到了晚一些的),放狗搜了搜也没找到,但是找到了两款解密程序。一款是Googulator开发的TeslaCrack,另外一款则是BloodDolly开发的TeslaDecoder。前者虽然开源,但支持解密的版本少于后者。本文通过分析及逆向样本和这两款工具,试图了

格式化字符串漏洞简介

格式化字符串漏洞简介

渗透注入 2周前 (05-09)

0x00简介 格式化字符串,也是一种比较常见的漏洞类型。会触发该漏洞的函数很有限。主要就是printf还有sprintf,fprintf等等c库中print家族的函数。 我们先来看看printf的函数声明 这个是每个学过c语言的人一定会知道、会使用的函数。先是一个字符串指针,它指向的一个format字符串。后面是个数可变的参数。 一般人可能会这么用它 这个程序没有问题。然后会有一些人为了偷懒会写成

得到内网域管理员的5种常见方法

得到内网域管理员的5种常见方法

渗透注入 2周前 (05-08)

from:http://blog.spiderlabs.com/2013/09/top-five-ways-spiderlabs-got-domain-admin-on-your-internal-network.html spiderlabs总结的,我简单翻译下,偶尔加点我的牢骚。 1.Netbios and LLMNR Name Poisoning 这个方法在WIN工作组下渗透很有用,WIN的

漏洞挂马网站趋势分析

漏洞挂马网站趋势分析

病毒木马 2周前 (05-08)

讯电脑管家浏览器漏洞防御模块上报的数据显示,自7月起,拦截到的挂马网页地址数量发生了急剧增长。通过进一步分析发现,这批木马不仅可以在用户电脑中安装大量的推广软件,甚至还有可能进行盗号等恶意行为,给用户的电脑和帐号带来风险。 使用浏览器漏洞挂马是目前互联网上最常用的攻击手段。它利用了IE等浏览器在开发过程中遗留的一些缺陷,可以在用户不知情的情况下运行攻击者指定的恶意程序。由于去年4月微软已经停止对W

企业安全“新”技术峰会 -智能安全,始于边缘

企业安全“新”技术峰会 -智能安全,始于边缘

互联网最新资讯 2周前 (05-08)

在地球上一半人类都上网的互联网生态系统中,数字化安全从未变得如此紧迫。无论是企业用户还是端点消费者,数字化体验越来越多地通过联网设备随时随地按需提供。对于信息安全专业人士来说,这个互联的生态系统正在对“边界”这一策略造成严重破坏。 如我们所知,边界不复存在,攻击始终在发生变化,规模和数量不断攀升,且越来越有针对性;您再也不能确保边界的安全,也无法信赖“禁入禁出”的防御模式。您需要一个更加灵活,应对

对某创新路由的安全测试

对某创新路由的安全测试

渗透注入 2周前 (05-08)

0x00 题外话 很荣幸能够参加乌云的众测,之前一直都是以旁观者的身份在乌云Zone里头围观的,也感谢Insight Labs&乌云的基友给了我这次参加测试的机会。可以说这次整体测试下来,有成功,也有失败,可谓是收益良多。接下来我就把我这次测试的经验和大家分享一下。本人技术有限,如有遗漏和不足,敬请大家多多指教。 0x01 测试背景 本次众测的题目是叫做“某创新应用安全众测”,一看到这个标

特殊条件数据传输

特殊条件数据传输

病毒木马 4周前 (04-24)

0x00 借问酒家 有什么东西想拿却拿不出来?不妨开开脑洞。 缘起是2014年底的时候看到金山做的在线恶意代码分析系统“Fire eye”(https://fireeye.ijinshan.com/)。感觉很新鲜,丢了自己攒的几个样本丢了上去,分析的结果还算可以。从分析报告来看,它也是一类沙箱检测工具,把样本丢到虚拟机里跑,再在虚拟机内外布控,监测样本的各种行为,最后生成分析报告并给出判断是否恶意

微信双开还是微信定时炸弹?- 关于非越狱iOS上微信分身高危插件ImgNaix的分析

微信双开还是微信定时炸弹?- 关于非越狱iOS上微信分身高危插件ImgNaix的分析

漏洞播报 1个月前 (04-22)

作者:蒸米@阿里移动安全 序言 微信作为手机上的第一大应用,有着上亿的用户。并且很多人都不只拥有一个微信帐号,有的微信账号是用于商业的,有的是用于私人的。可惜的是官方版的微信并不支持多开的功能,并且频繁更换微信账号也是一件非常麻烦的事,于是大家纷纷在寻找能够在手机上登陆多个微信账号的方法,相对于iOS,Android上早就有了很成熟的产品,比如360 OS的微信双开和LBE的双开大师就可以满足很多

Data Volume 之 bind mount – 每天5分钟玩转 Docker 容器技术(39)

Data Volume 之 bind mount – 每天5分钟玩转 Docker 容器技术(39)

每天5分钟Docker 1个月前 (04-17)

storage driver 和 data volume 是容器存放数据的两种方式,上一节我们学习了 storage driver,本节开始讨论 Data Volume。 Data Volume 本质上是 Docker Host 文件系统中的目录或文件,能够直接被 mount 到容器的文件系统中。Data Volume 有以下特点: Data Volume 是目录或文件,而非没有格式化的磁盘(块设

安全客2019季刊第一季 | 政企安全新一代挑战与机遇

安全客2019季刊第一季 | 政企安全新一代挑战与机遇

互联网最新资讯 1个月前 (04-16)

在线阅读:安全客2019季刊第一季 点击下载:安全客2019季刊第一季.pdf   4月16日,安全客2019季刊—第1季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!从4月16日的11点到4月18日的18点,我们还放送出了1300+份定制好礼,赶紧下载季刊阅览吧! 2017年年初,安全客的第一版电子年刊正式出版,一经发布立刻在安全圈内掀起一番读

合作伙伴

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享