自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

白夜鬼魅

工作中遇到的问题及解决方案,偶尔谈人生梦想。公众号:baiyeguimei

  • 博客(16)
  • 资源 (3)
  • 收藏
  • 关注

原创 区块链安全之交易所测试--输入输出安全-XSS、SQL注入、代码注入

一.概述输入输出的安全问题来源于开发人员编码过程中的粗心大意以及应有的安全意识的缺失。这些安全问题对于网站来说是非常严峻的,对数据库,网站管理权限,内网都有巨大威胁。而且利用手法很多,如利用任意文件上传漏洞可直接获取网站shell,利用命令执行漏洞可执行命令反弹shell,利用SQL注入漏洞可查看和修改数据库信息,利用服务端请求伪造(SSRF)漏洞可攻击内网等。因此关于输入输出的安全测试必不...

2019-11-30 15:13:29 208

原创 区块链安全之交易所测试--信息泄露

一. 概述信息泄露在安全审计中屡见不鲜,对于存有大量用户KYC信息的交易所来说影响更加深远,是非常严重的安全问题。在审计大量交易所后发现,信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等地方。造成信息泄露的主要原因一般是由于服务器响应包内容没有经过处理就将用户的所有信息返回,配合其他漏洞甚至可以批量的获取用户敏感信息,除此以外,对善于掘金的攻击者来说网站...

2019-11-30 14:40:55 623

原创 区块链安全之交易所测试--业务逻辑

一. 概述对于交易所来说,一个逻辑完备,鉴权完整的交易流程必不可少。业务逻辑漏洞独立与其他服务却又容易受到其他安全问题的牵扰。与SQL注入、XSS等常规web安全漏洞不同,业务逻辑漏洞使用正常的业务流程中的程序固有不足,逻辑设计缺陷等进行攻击,甚至绕过已有安全防护措施,一般防护手段以及安全设备无法防御,因此业务逻辑漏洞一直困扰着广大开发者和安全测试人员。这里给出在经过大量对交易所安全测试后...

2019-11-30 13:53:16 757

原创 区块链安全之交易所测试--信息收集-社会工程学

一. 概述社会工程学是信息收集技术的延伸和升级,是一种高级的信息利用手段。系统中最大的漏洞永远是人,社会工程学攻击则是一种高效利用这种漏洞的手段,它看似不起眼,也不专业,也没有技术性,但其实是最有效,最直接的攻击手段之一。面对机器,一样的输入只有一种结果;而面对人,一样的输入却有千万种不同的反馈,根据这些探索出更深层次的信息,正是社会工程学的魅力所在。以下是信息收集List和社会工程学在测...

2019-11-30 10:42:41 189

原创 区块链安全之交易所测试--信息收集

一、概述对于所有安全相关的测试来说,信息收集都是非常重要且必要的第一步,有时一次非常全面完善的信息收集甚至会占到一次渗透测试总工程量的的70%到80%,能为后续的工作节省大量精力,提供便利,数字货币交易所的安全测试也是一样,第一步的信息收集至关重要。本文将展示信息收集的相关步骤,以及大量交易所客户真实案例,通过案例可以了解到,在安全测试过程中数字货币交易所有什么样的信息可供黑客收集利用以及导致...

2019-11-30 10:11:32 483

原创 网络安全之web攻防 逻辑漏洞浅析

逻辑漏洞是一种比较常见的漏洞,在漏洞挖掘过程中有时也很容易遇见。通常漏洞有:任意密码修改,支付漏洞,密码找回,越权等注册处常见的漏洞有:1.任意用户注册挖掘方法:一般用a手机号接受短信,然后再用b接收,发现验证码一样,可再用其他任意手机号注册 攻击者知道被攻击用户的手机号码,获取短信验证码,抓包在数据包中看到用户收到的重置用的短信验证码。2.尝试重复用户名等登录处常见...

2019-11-28 09:36:53 261

原创 网络安全之web攻防 文件上传校验绕过总结

文件上传校验前端javascript校验(一般只校验后缀名)服务端校验文件头content-type字段校验(image/gif)文件内容头校验(GIF89a)后缀名黑名单校验后缀名白名单校验WAF设备校验(根据不同的WAF产品而定)其他绕过方式1.客户端校验判断方式:上传文件时还未点击上传按钮便弹出对话框,内容如:只允许上传.jp...

2019-11-21 17:16:08 304

原创 kali渗透测试-WebShell(中国菜刀、WeBaCoo、Weevely)

本质 : 上传一句话木马<?php echo shell_exec($_GET[‘cmd‘]);?>windows平台中国菜刀支持asp、php、asp.net和jsp等可能被IDS、AV、WAF、扫描器软件发现查杀使用方法:往目标web服务器上传相应的一句话木马asp一句话木马:<%execute(request("pass"))%>p...

2019-11-21 17:00:05 1346

原创 weevely-kali PHP菜刀工具使用详解

weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。项目地址:https://github.com/epinna/Weevely下面就针对...

2019-11-21 12:58:33 722

原创 apktool工具基本使用 解包和打包操作

APKToolAPKTOOL是解包 APK 文件最常用的工具,许多 APK 工具箱都集成了 apktool。它可以完整解包 APK,解包后你可以看到 APK 里面的声明文件、布局文件、图片资源文件、由 dex 解包出来的 smali 文件、语言文件等。如果你要汉化、修改界面、修改代码的话,apktool 可以帮你一站式完成。常用命令需要在 CMD 命令窗口中输入命令来使用,常用命令如下...

2019-11-18 11:42:17 2999

原创 安卓夜神模拟器配合ADB及drozer进行app渗透测试

网上目前我是没看到有成熟的相关文档,在自己踩了几个坑之后,将使用文档整理出。首先下载夜神模拟器,这个不难,百度一下就能下载。adb下载:链接:https://pan.baidu.com/s/1SKu24yyShwg16lyIupO5VA 提取码:ih0i(来源于其它博主,我懒得自己上传,时效的话联系我)安装:不需要安装,解压然后放到目录下就行,任意路径,比如d盘下。dro...

2019-11-16 10:48:48 9794

原创 移动安全app渗透测试之渗透流程、方案及测试要点讲解

被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼,说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力,有了下面这篇文章,工欲善其事,必先利其器。先整理好思路,渗透起来才能顺利不迷茫。安全威胁分析:app渗透测试,来源的威胁不外乎三方面:其实web端好像也是这三方面哈。面临的主...

2019-11-15 15:04:51 5546

原创 网络安全之web攻防 密码爆破——kali使用hydra工具进行ssh服务器密码爆破

hydra破解工具支持多种协议的登录密码,可以添加新组件,使用方便灵活。hydra可在Linux、Windows和OS X中使用。hydra可以用来破解很多种服务,包括IMAP,HTTP,SMB,VNC,MS-SQL,MySQL,SMTP等等。本篇文章讲解ssh登陆方式爆破。hydra的主要选项-R 修复之前使用的aborted/crashed session-S 执行SS...

2019-11-15 14:03:43 3105

原创 网络安全之web攻防 信息收集——初篇

看书学习到的,记录一下,之后信息收集的时候备用。1.whois查询可用信息:邮箱地址,注册人,作者信息whois.aliyun.com//阿里 www.whois365.com/cn///全球查 http://whois.chinaz.com//站长 http://whois.aizhan.com//爱站kali自带命令:whoiswww.xxx.com...

2019-11-15 09:41:11 527

原创 git clone 网速慢的解决方案,包括所有的git命令(linux系统解决方案)

1.寻找ip地址nslookup github.global.ssl.fastly.Net nslookup github.com 2.打开hosts文件sudo vim /etc/hosts3.将ip地址写入hosts文件(如果用上面nslooup找到的IP没用的话,建议尝试一下,我下面的这两个,github对应的是192.30.255.113或192.30....

2019-11-08 10:42:16 458

原创 Ubuntu 安装Kali工具集:Katoolin 阿里云服务器安装kali

首先确保你的Python版本大于2.7python --version安装gitapt-get install git安装:sudo sugit clone https://github.com/LionSec/katoolin.git && cp katoolin/katoolin.py /usr/bin/katoolinchmod +x /usr...

2019-11-02 09:58:33 3077 2

Linux_基础教程--Shell脚本编程.ppt

本文档为原创,主要讲解了基于linux平台的bash编程基本命令使用,帮助学习者熟悉Shell 脚本的编码规范,掌握执行和调试方法,掌握对变量进行整数运算和间接引用的方法,理解位置参数变量和特殊参数变量的用途,掌握条件测试的使用 [] 、[[]]、(()),掌握各种流程控制语句的使用,掌握函数的定义、调用和传递返回值的方法等

2018-06-07

MySQL5.7从入门到精通.pdf

mysql 5.7从入门到精通是一本MySQL 5.7入门书籍,由刘增杰编著,本书涵盖了所有MySQL的基础知识点,由浅入深地掌握MySQL数据库开发技术,在介绍案例的过程中,每一个操作均有对应步骤和过程说明。这种图文结合的方式使读者在学习过程中能够直观、清晰地看到操作的过程以及效果,便于读者更快地理解和掌握。读者通过阅读mysql 5.7从入门到精通,可以快速掌握MySQL的管理与开发的方法和技巧。

2018-06-07

DB2数据库管理最佳实践.pdf

《DB2数据库管理最佳实践》是2011年电子工业出版社出版的一本图书,作者是徐明伟、王涛。本书主要和大家分享了DB2数据库管理的最佳实践经验。

2018-06-07

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除