文件上传校验姿势
- 客户端javascript校验(一般只校验后缀名)
- 服务端校验
- 文件头content-type字段校验(image/gif)
- 文件内容头校验(GIF89a)
- 后缀名黑名单校验
标签归档:入侵经验
美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》【转】
美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》
近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activity),与上次的联合分析报告(JAR-16-20296)不同,此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。
漏洞利用工具包
漏洞利用工具包
近期的RIG、Sundown和Magnitude漏洞利用工具包。
RIG漏洞利用工具包利用了:
CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298
Sundown漏洞利用工具包利用了:
CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201
Magnitude漏洞利用工具包利用了:
CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117
新曝WordPress REST API内容注入漏洞详解[转]
新曝WordPress REST API内容注入漏洞详解
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。
官方很快发布了升级版Wordpress,但很多管理员没有及时升级,以至于被篡改的网页从最初的几千一路飙升到了150万,在此也提醒各位管理员尽快升级。
漏洞详情
文件上传漏洞(绕过姿势)【转】
前言
Firefox CVE-2016-9079 漏洞及测试代码[转]
2016年11月30日,Mozilla Firefox官网发布了一个紧急更新,修补了编号为CVE-2016-9079的漏洞。
该漏洞是一个存在于SVG动画模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平台包括Windows,Mac OS以及Linux。
详情请见如下链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/
基于社交网络(Twitter和Facebook)的 渗透测试盒子[转]
有人曾说过,交换秘密的最佳地点就是熙熙攘攘的人群中。有道是,越危险的地方越安全。那么,如果利用社交网络生成的流量来伪装pentest drop box流量会出现什么情况?
– 渗透测试盒子 –
Pentest drop box 是一款可在渗透测试时插入(或者无线接入)目标网络的便携式设备,它可被一个C&C服务器控制并实施以下行为:
【php safety】系列2 解析create_function()&&复现wp【转】
1.文章难易度 【★★★】
2.文章知识点: php编程;create_function()函数;
3.文章作者: xiaoye
4.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载!
关键词:网络信息安全技术
前言…
