原创 PHP一句話木馬後門
在我們進行滲透測試的最後階段,入侵到內網裏,無論是想要瀏覽網站結構,還是抓取數據庫,或者是掛個木馬等等,到最後最常用的就是執行一句話木馬,從客戶端輕鬆連接服務器。 一句話木馬的原理很簡單,造型也很簡單,所以造成了它理解起來容易,抵禦起來也
2019-02-27 13:20:48
4
原创 技術剖析之中國菜刀與webshell
菜刀是一款老牌國產黑客工具,也是很多滲透測試工程師常備的一款工具,功能強大使用方便。作爲企業安全的維護者,我們應該詳細瞭解該工具,並在提取出流量特徵後及時予以阻斷,保護好企業的安全! webshell webshell是以網頁形式存在
2019-02-20 23:32:16
原创 什麼是僵屍網絡?
僵屍網絡已成爲當今安全系統面臨的最大威脅之一。它們在網絡罪犯中越來越受歡迎,原因是它們能夠滲透幾乎所有聯網設備,從DVR播放器到企業服務器。 僵屍網絡也越來越多地成爲網絡安全文化討論的一部分。Facebook的虛假廣告爭議和Twitter
2019-02-19 06:53:21
原创 Bypassing Web-Application Firewalls by abusing SSL/TLS
Introduction During the latest years Web Security has become a very important topic in the IT Security field. The advan
2019-02-16 19:17:09
原创 目錄遍歷攻擊
許多的Web應用程序一般會有對服務器的文件讀取查看的功能,大多會用到提交的參數來指明文件名,如: http://www.nuanyue.com/getfile=image.jgp 當服務器處理傳送過來的image.jpg文件名後,Web
2019-02-15 00:30:50
28
原创 使用隧道技術進行C&C通信
C&C通信 這裏的C&C服務器指的是Command & Control Server--命令和控制服務器,說白了就是被控主機的遙控端。一般C&C節點分爲兩種,C&C Server 和 C&C Client。Server就是就是黑客手裏的遙
2019-02-15 00:30:50
1
原创 身份管理的15個安全開發實踐
身份管理可以說是所有技術門類中風險最大的服務。身份盜竊事件常伴我們左右。諮詢公司 Javelin Research 從事身份盜竊事件研究多年,其《2018身份欺詐》報告將2017年身份盜竊統計數據描述爲“歷史新高”,揭示身份盜竊繼續困擾着
2019-02-15 00:30:49
原创 聊聊CVE漏洞編號和正式公開那些事
聊聊CVE漏洞編號和正式公開那些事 一 CVE漏洞編號是誰頒發的? CVE開始是由MITRE Corporation負責日常工作的。但是隨着漏洞數量的增加,MITRE將漏洞編號的賦予工作轉移到了其CNA(CVE Numbering Aut
2019-01-26 00:29:43
1
原创 應用層拒絕服務攻擊
DDOS又稱爲分佈式拒絕服務,全稱是 Distributed Denial of Service,DDOS本是利用合理的請求造成資源過載,導致服務不可用。常見的DDOS攻擊有SYN flood,UDP flood,ICMP flood等。
2019-01-17 23:48:18
原创 如何識別高級的驗證碼
如何識別高級的驗證碼 一、驗證碼的基本知識 1. 驗證碼的主要目的是強制人機交互來抵禦機器自動化攻擊的。 2. 大部分的驗證碼設計者並不得要領,不瞭解圖像處理,機器視覺,模式識別,人工智能的基本概念。 3. 利用驗證碼,可以發
2019-01-07 00:55:59
原创 文件上傳漏洞
文件上傳漏洞是指用戶上傳了一個可執行的腳本文件,並通過此腳本文件獲得了執行服務器端命令的能力。 文件上傳功能本身是一個正常業務需求,對於網站來說,很多時候也確實需要用戶將文件上傳到服務器。所以“文件上傳”本身沒有問題,但有問題的是文件上傳
2019-01-07 00:55:59
原创 Web應用訪問控制
權限控制,或者說訪問控制,廣泛應用於各個系統中。抽象地說,是某個主體(subject)對某個客體(object)需要實施某種操作(operation),而系統對這種操作的限制就是權限控制。 在網絡中,爲了保護網絡資源的安全,一般是通過路由
2019-01-06 00:55:01
原创 An Introduction to Web-shells – Part 1
A web-shell is a malicious script used by an attacker with the intent to escalate and maintain persistent access on an
2019-01-05 01:13:05
原创 Introduction to Web Shells – Part 2(Web-shells using PHP)
Web shells exist for almost every web programming language you can think of. We chose to focus on PHP because it is the
2019-01-05 01:13:05
原创 Introduction to Web-Shells – Part 4(Weevely)
Weevely is a lightweight PHP telnet-like web-shell with several options which we shall be using for this example. For d
2019-01-05 01:13:05