xd_xd's blog

xd_xd's blog

    • Home
    • Archives
    • About

logcat使用指南

一共5中日志的输出方式: android.util.Log:提供了五种输出日志的方法 Log.e(), Log.w(), Log.i(), Log.d(), Log.v() ERROR, WARN, INFO, DEBUG, VERBOSE adb logcat 命令会有非常多的

Apr 7 2016

bugfree任意文件上传漏洞

漏洞详情http://wooyun.org/bugs/wooyun-2010-023919http://wooyun.org/bugs/wooyun-2010-074519 最近渗透过程中遇到一个3.0.2版本的bugfree。利用这个上传获得shell。这个上传其实并不鸡肋。如

Mar 28 2016

struts2 s2-029 漏洞

S2-029的公告说是可能的远程代码执行。而且依然是ognl导致的。 The Apache Struts frameworks performs double evaluation of attributes values assigned to certain tags so

Mar 21 2016

google firing-range xss测试应用

firing-range是谷歌发布的一个XSS测试环境,用来检测扫描器的能力。在线访问地址:https://public-firing-range.appspot.com 谷歌对每个位置都进行了详细的分类。 对其中两例进行分析:location.hash.assign

Mar 17 2016

审计mybatis的sql注入

mybatis 概述MyBatis是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以对配置和原生Map使用简单的 XML 或注解,将接口和 Java 的 POJOs(Pl

Mar 14 2016

thinkphp URL命令执行漏洞分析

漏洞很老了。整理一下。补丁地址 代码修复的方式为: /trunk/ThinkPHP/Lib/Core/Dispatcher.class.php 125 - $res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '

Mar 11 2016

referer安全技术攻防

Mar 10 2016

jsonp漏洞分析

漏洞原理json(javascript object notation)是javascript对象表示法的意思。 比如: var impromptu_object = { "given_name" : "john", "family_name": "smith",

Mar 10 2016

使用转义防御XSS

在输出的时候防御XSS即对用户输入进行转义,XSS的问题本质上还是代码注入,HTML或者javascript的代码注入,即混淆了用户输入的数据和代码。而解决这个问题,就需要根据用户可控数据具体输出的环境进行恰当的转义。 在html标签中输出<HTML标签>[输出]&l

Mar 9 2016

php对象注入漏洞简介

漏洞原理理解php对象注入,需要了解基本的php面向对象编程的概念和php中的魔术方法。可以参考理解php对象注入,文中练习代码可以在这里下载 用户可控的数据进入了unserialize函数进行对象重建,通常通过(但不限于)魔术方法进行利用 利用方式通常利用wakeup或dest

Mar 8 2016
Prev1…34567…14Next
RSS 訂閱

分類

  • cve and others2
  • 万物互联17
  • 人生苦短1
  • 代码审计31
  • 前端安全8
  • 加密解密5
  • 折腾不止6
  • 渗透测试10
  • 移动安全6
  • 黑盒测试8

標簽

  • php9
  • java6
  • mips2
  • 万物互联2
  • 支付漏洞2
  • python2
  • mysql2
  • xss2
  • ssi1
  • tcpdump1
  • 固件1
  • 密码学1
  • 折腾1
  • inspeckage1
  • csrf1
  • github1
  • ctf1
  • xposed1
  • binwalk1
  • php,wdcp1

友情鏈接

  • heysec.org
  • sco4x0's blog
  • virusdefender's blog
  • Striker's blog
  • 离别歌
  • Stardustsky博客
  • 独自等待
  • S4b0r' blog
  • leesec
  • 0x_Jin
  • Tomato
  • 4ido10n
  • lynahex's blog
  • Bsmali4很忙
  • thorns