了解 Redis是一个开源的、使用C语言编写的、支持网络交互的、可基于内存也可持久化的Key-Value数据库。 以MemcacheDB、Tokyo Tyrant为代表的key-value分布式存储,…
常用命令和工具: metasploit nmap sqlmap 中国蚁剑 冰蝎 dirsearch dirbuster 等常用工具就不在此介绍了 nmap 192.168.26.0/24 nmap -…
APache Dubbo简介 Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是…
关于pwnSpoof pwnSpoof是一款功能强大的日志生成工具,该工具可以帮助广大研究人员在各种类型的可定制攻击场景中,针对常见的Web服务器生成伪造日志文件。 pwnSpoof所生成的每一个日志…
该篇Writeup基于HackerOne披露的美国国防部网站漏洞,漏洞涉及IDOR问题,攻击者利用漏洞可通过账户更新功能劫持网站任意用户。以下是作者的漏洞发现过程。 漏洞发现 我在开展美国国防部漏洞众…
一、SQL盲注基础知识 1.什么是盲注 用户发起请求(并不一定是查询),服务器收到请求后在数据库进行相应操作,并根据返回结果执行后续流程。在这个过程中,服务器并不会将查询结果返回到页面进行显示,这就是…
随着互联网业务的快速发展,网络爬虫引发的性能骚扰、法律风险、隐私泄露等问题愈演愈烈。近日,RadeBit瑞安全通过采访Akamai中国区企业事业部总经理何铭先生以及Akamai大中华区产品市场经理刘炅…
*本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 一、漏洞原理分析 首先漏洞产生点位于:/inc/function.inc.php 557行 rands函数 由于PHP函数mt…
前言: Ecshop是国内的一款开源的电商框架,在国内应用较为广泛,当前最新版本为4.0.0,最近对其代码进行了简单的分析,发现可以绕过其filter触发XSS。 一、漏洞利用方式 发送GET请求包如…
前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。…

RadeBit瑞安全

RadeBit瑞安全