漏洞测试

Bash远程解析命令执行漏洞测试方法

从昨天开始,这个从澳大利亚远渡重洋而来的BASH远程命令执行漏洞就沸腾了整个FreeBuf,大家都在谈论,“互联网的心脏又出血了”,可是,亲,到底怎么对网站进行测试?下面这段脚本$ env x=‘() { :;}; echo vulnerable'  bash -c "echo this is a test"真的如各路大神们说的这样吗?它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用
wivndf·2014-09-26 06:00

各种Web漏洞测试平台

SqliLab​支持报错注入、二次注入、盲注、Update注入、Insert注入、Http头部注入、二次注入练习等。支持GET和POST两种方式。https://github.com/Audi-1/sqli-labsDVWA(DamVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、
mik3y·2014-07-16 16:00

网站常见漏洞及解决方案

网站渗透测试,也称为网站安全检测、网站安全测试、Web安全检测、网站安全评估、网站漏洞测试等。 它是
·2014-07-11 11:00

浅淡常见的WEB安全漏洞测试及验证

浅淡常见的WEB安全漏洞测试及验证【文件上传漏洞】1.对用户上传的文件没有进行充分合理的验证,导致被上传木马等恶意文件并执行验证方式可能有:客户端JS检测、服务器MIME类型检测、服务器目录路径检测、服务器文件扩展名检测
qileilove·2014-07-09 15:00

浅淡常见的WEB安全漏洞测试及验证

浅淡常见的WEB安全漏洞测试及验证【文件上传漏洞】1.对用户上传的文件没有进行充分合理的验证,导致被上传木马等恶意文件并执行验证方式可能有:客户端JS检测、服务器MIME类型检测、服务器目录路径检测、服务器文件扩展名检测
xiesongsong·2014-06-29 23:45

CentOS OpenVAS的搭建

其强大的扫描能力来自于集成数万个漏洞测试程序,这些测试程序以插件的形式提供,可以从官方网站免费更新       1.1 OpenVAS的工作组件OpenVAS能够基于C/S,B/S架构工作,管理员通过浏览器或者专用的客户端程序下达扫描任务
raingolee·2014-06-12 17:37

开源web漏洞扫描系统 – IronWASP 2014版发布

阅读更多IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和
希尔顿·2014-04-26 01:00

开源web漏洞扫描系统 – IronWASP 2014版发布

IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby
希尔顿·2014-04-26 01:00

开源web漏洞扫描系统 – IronWASP 2014版发布

IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby
lock·2014-04-25 04:00

国产WEB漏洞测试平台—MST

Mst是一款Python2.7编写的小漏洞利用平台,可运行在windows|Backtrack|maxosx等系统,专注于web漏洞的测试和各种利用插件的编写。不懂怎么介绍,来看下截图吧~在windows上运行:Backtrack:(需要注意=>执行请输入命令python2.7mst.py你懂的)MacosX:好了,这可不光是为了好看的:)来实例讲解一下使用的基本流程~使用方法#列出所有的expl
584250550·2014-03-24 18:38

国产WEB漏洞测试平台―MST

Mst是一款Python2.7编写的小漏洞利用平台,可运行在windows|Backtrack|maxosx等系统,专注于web漏洞的测试和各种利用插件的编写。不懂怎么介绍,来看下截图吧~在windows上运行:Backtrack:(需要注意=>执行请输入命令python2.7mst.py你懂的)MacosX:好了,这可不光是为了好看的:)来实例讲解一下使用的基本流程~使用方法#列出所有的expl
584250550·2014-03-24 18:38

《Linux企业应用案例精解(第2版,附光盘1张)》

其中主要介绍了Web系统集成方法、漏洞测试方法和LAMP安全配置;配置OpenLDAP实现Linux下的应用统一认证;配置Postfix大型邮件系统;OracleRAC数据库集群的配置与管理;Heartbeat
brucexia·2014-03-12 10:19

D-LINK路由器后门漏洞测试方法

国家互联网应急中心http://www.cert.org.cn/publish/main/9/index.html多款D-LINK路由器产品存在后门漏洞(受影响的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU)  
myths_0·2014-03-01 11:00

管理员应对恶意软件的五个步骤

这些计算机存在的主要问题是安全措施极其薄弱,如没有漏洞测试,以及对传统杀毒软件过度依赖等。
jhywww·2014-02-17 15:13

openvas 详细部署安装

一、openvas介绍  OpenVAS(OpenVulnerabilityAssessmentSystem)是开放式漏洞评估系统,其核心部件是一个服务器,包括一套望楼漏洞测试程序,可以检测远程系统和应用程序中的安全问题
303563041·2014-01-24 10:17

某国家大型考试网站安全漏洞测试 (三)

MITM型其实这种类型的攻击,一般在无线领域比较多,毕竟无线属于共享型媒体,所有数据只要你起个基站去锁各种频道就能监听。那现在问题来了,无线环境的MITM其实就跟我们的暗算那个神耳一样,只不过我们这里的频段是固定的不需要去扫频。也就是说,所有发送的数据包都是可见状态,那无线环境的加密就比较重要了。但是也没什么用,暗算电视剧里面加密过的电文还是一样会被截获破解,现实的无线环境更容易,我们通过自己的伪
TOTOTO_TOTO·2013-12-12 23:00

某国家大型考试网站安全漏洞测试 (二)

XssDom型对于这种安全问题,太复杂,得仔细分析页面和理解服务端的处理逻辑。就好比这次的安全测试,某一项功能的业务需求是考生一次考试只允许选择报考该考试的某一个职位,那分析一下应该是考试是一套表,职位是一套表,靠考试和职位关联在一起,那问题出现了,考试和职位的关联是否做了有效性和合法性校验?于是做了个测试,通过热修改页面提交了一个报名,果然成功了。结果刷出来居然还没报错。然后就看到考公务员的考试
TOTOTO_TOTO·2013-12-12 21:00

某国家大型考试网站安全漏洞测试 (一)

不久前对公司的项目做了一次上线前的安全测试,不挖不知道,一挖吓一跳。做外包的都知道,人员流动性大,水平差距大,项目各种文档写了跟没写差不多。再加上开发等测试发现问题,测试只负责乱点然后提交问题,项目经理拿着问题让开发人员解决这种恶性循环很难得到良好并高效的代码。基于这种情况,我首先估测了开发人员的水平,然后从页面的HTML和JS入手,看看JS的风格和用法基本就能知道开发人员的水平。果然,这个网站的
TOTOTO_TOTO·2013-12-12 20:00

struts2 漏洞测试工具

实在是没办法啊,服务器又被黑了。上传了很多木马jsp文件。尝试了一下,居然可以管理服务器内部文件。我们项目使用的struts22.3.12,不能幸免的的被黑了。Struts2远程代码执行漏洞利用工具bulid20130720[+]S2-016 CVE-2013-225   支持GetShell/获取物理路径/执行CMD命令[+]S2-013 CVE-2013-1966  支持GetShell/获取
feng27156·2013-11-22 10:00

国产WEB漏洞测试平台――MST

国产WEB漏洞测试平台――MSTMst是一款Python2.7编写的小漏洞利用平台,可运行在windows|Backtrack|maxosx等系统,专注于web漏洞的测试和各种利用插件的编写。
苍狼飞鹰·2013-10-25 20:06

国产WEB漏洞测试平台——MST

国产WEB漏洞测试平台——MSTMst是一款Python2.7编写的小漏洞利用平台,可运行在windows|Backtrack|maxosx等系统,专注于web漏洞的测试和各种利用插件的编写。
苍狼飞鹰·2013-10-25 20:06

远程文件包含漏洞测试

在本地搭建test.php---------------------------------http://xxx.com/test.php?file=123  本地的成功http://xxx.com/test.php?file=http://xxx.com/123      远程的不成功---------------------------------打开php.ini文件的:allow_url_
xing_anksh·2013-09-16 17:00

OpenVAS漏洞评估系统搭建

首先,他是开源的,用来扫描目标网络或主机的安全性,他之所一这么强大,是因为他的评估能力来源于数万个漏洞测试程序,这些程序都是以插件的形式存在。
linux88888·2013-08-17 17:25

网络安全:漏洞测试主要平台 BackTrack4+Metasploit+ruby

BackTrack4-Finallinux系统常用命令:startxpoweroffBackTrack4后使用了ubuntu8.10的系统,而且只能装Debian的软件包。2011年5月11日,BackTrack发布了最新的BackTrack5,基于ubuntu10.04LTS(Long-TermSupport)内核为Kernel2.6.38。本版BackTrack对于无线安全的检查能力更为强悍,
太阳湾技术·2013-06-13 14:00

DNS域传送泄露漏洞测试方法

假如要测试www.xxxxxx.net这个站点是否存在DNS域传送泄露漏洞,可以使用下面的方法:在Windows下测试方法:运行CMD,输入nslookup-qa=ns测试对象域名,即nslookup-qa=nsxxxxxxx.net,(ns是名字服务器记录)接着输入nslookup,查看当前主机的DNS设置,并进入nslookup命令环境然后执行servernameserver,即servern
serverxx0·2013-05-13 23:08

Samba&distcc 漏洞

漏洞测试确实是可以的 当时把文章copy下来进行再进行测试。但是没有copy到图片,实验是成功了,但是没有那么直观。
GeForever·2013-04-06 20:49

phpliteadmin <= 1.9.3 远程php代码执行漏洞测试

漏洞来自:http://www.exploit-db.com/exploits/24044/本文仅仅是简单测试了一下,没有啥技术含量……感觉这个还是用于提权获取webshell,因为需要登录phpLiteAdmin,还需要有创建数据库权限。首先,登录:SqliteAdmin创建数据库test.php:若在sqliteadmin没有test.php,则此时会在当前目录下生成test.php,如下图:
lcs_zfp·2013-01-12 16:08

SQL注入漏洞测试工具比较

 SQL注入漏洞测试工具比较Sql注入测试一定要使用工具。原因一:工作效率;原因二:人工很难构造出覆盖面广的盲注入的sql语句。
oneVs1·2012-03-12 23:00

php hash漏洞测试及补丁

PHPhash漏洞测试环境:Ip:xx.xx.31.167 Nginx0.8+php5.2.144颗CPU。 
iceeggplant·2012-01-07 08:58

php hash漏洞测试及补丁

PHPhash漏洞测试环境:Ip:xx.xx.31.167Nginx0.8+php5.2.144颗CPU。
iceeggplant·2012-01-07 08:58

ActFax Server FTP 漏洞测试结果!

作者:本地牛昨天转发了篇博关于ActFaxServerFTPRemoteBOF(postauth)漏洞,今天在VM下安装了ActFaxServerFTP测试. 未安装时开启的端口:安装ActFaxServer之后开启的端口,多了21的FTP和23TELNET先用PYTHON编译代码,用3.2版本编译运行出错,后换2.7版才可以。郁闷。然后把VM当前的IP替换原来代码里的IP。运行程序:提示不成功,
enables·2011-06-10 13:01

xss漏洞测试总结(一)

XSS(crosssitescipt)cheat是安全测试的最常见的漏洞。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。当他与csrf攻击手法结合时,会变的很强大很可怕(个人意见)。怎样测试XSS呢?推荐一个好的去处:http
my_lovely_photo·2011-03-16 10:46

xss漏洞测试总结(一)

XSS(crosssitescipt)cheat是安全测试的最常见的漏洞。它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。XSS属于被动式的***,因为其被动且不好利用,所以许多人常忽略其危害性。当他与csrf***手法结合时,会变的很强大很可怕(个人意见)。怎样测试XSS呢?推荐一个好的去处:
my_lovely_photo·2011-03-16 10:46

国外Sql注入资料

漏洞测试3.收集信息4.数据类型5.获取密码6.创建数据库帐号7.MYSQL操作系统交互作用8.服务器名字与配置9.从注册表中获取VNC密码10.逃避标识部分信号11.用Char()进行MYSQL输入确认欺骗
hackfreer·2011-02-08 19:34

Iis写权限漏洞认识

漏洞测试方法测试一个目录对
ynhu33·2010-10-13 10:20

Iis写权限漏洞认识

漏洞测试方法测试一个目录对
ynhu33·2010-10-13 10:20

Iis写权限漏洞认识

漏洞测试方法测试一个目录对于web用户
ynhu33·2010-10-13 10:20

Web漏洞测试网站整理

 这里整理了一些用于进行Web安全研究的测试网站,可以用于练手 ;)SPIDynamics(live)– http://zero.webappsecurity.com/Cenzic(live)– http://crackme.cenzic.com/Watchfire(live)– http://demo.testfire.net/Acunetix(live)– http://testphp.acu
hackfreer·2010-10-01 07:26

Web漏洞测试网站整理

 这里整理了一些用于进行Web安全研究的测试网站,可以用于练手 ;)SPIDynamics(live)– http://zero.webappsecurity.com/Cenzic(live)– http://crackme.cenzic.com/Watchfire(live)– http://demo.testfire.net/Acunetix(live)– http://testphp.acu
hackfreer·2010-10-01 07:26

Apache Tomcat UTF8目录遍历漏洞测试代码

    /*Apache Tomcat < 6.0.18 UTF8 Directory Traversal Vulnerability get /etc/passwd Exploit c0d3r: mywisdom thanks for not being lame to change exploit author tis is one of my linux
pxysea·2010-09-14 16:00

php下应对XSS攻击

本文首先简单介绍开发测试人员如何对Web应用进行XSS漏洞测试,如何借助工具绕过客户端JavaScript校验输入恶意数据;然后针对使用PHP语言构建的Web站点,从在输出端对动态内容进行编码、以及在服务器端对输入进行检测两方面介绍如何避免恶意的
hellollx·2010-03-21 15:00

批量修复dede mysql_err漏洞

/dedesql.class.php {} \; -------------------------------- 漏洞测试: 1、
icarusli·2010-03-08 19:00

blogbus.com(博客大巴)XSS跨站漏洞

漏洞测试过程:  1.申请了一个帐号  2.进入后台--博客--模板--首页布局设置--文章内容[编辑]  3.在对话框中的编辑链接处加上跨站代码或进入文章发布 
xuehu2009·2010-03-01 01:00

blogbus.com(博客大巴)XSS跨站漏洞

漏洞测试过程:  1.申请了一个帐号  2.进入后台--博客--模板--首页布局设置--文章内容[编辑]  3.在对话框中的编辑链接处加上跨站代码或进入文章发布 
xuehu2009·2010-03-01 01:00

Firefox 3.6版本被证实确实存严重漏洞

俄罗斯安全公司Intevydis公司宣称,安装VulnDisco系统插件Canvas漏洞测试软件可以检测出
yangji008·2010-02-24 17:36

NT 2.5最新注入漏洞测试分析(图)

Discuz!NT是一款功能强大的基于ASP.net平台的BBS系统,占有不少的市场份额,特别是一些大中型专业社区都采用该系统。最近,ISTO成员在其最新的2.5版本中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限,从而控制整个网站。下面笔者部署环境解析该漏洞,以期引起大家的重视。环境描述操作系统:Windows2003Discuz!NT版本:2.5URL:ht
佚名·2008-10-08 20:14

动易网站管理系统vote.asp页面存在SQL注入漏洞

动易网站管理系统vote.asp页面存在SQL注入漏洞测试系统:动易(PowerEasyCMSSP6071030以下版本)安全综述:动易网站管理系统是一个采用ASP和MSSQL等其他多种数据库构建的高效网站内容管理解决方案产品
linkboy·2007-11-03 20:00

动易网站管理系统vote.asp页面存在SQL注入漏洞

动易网站管理系统vote.asp页面存在SQL注入漏洞测试系统:动易(PowerEasyCMSSP6071030以下版本)安全综述:动易网站管理系统是一个采用ASP和MSSQL等其他多种数据库构建的高效网站内容管理解决方案产品
linkboy·2007-11-03 20:00

PHP博客程序C-blog2.0漏洞测试大揭密(图)

c-blog2.1测试手记朋友买了空间支持php但是没有mysql数据库,说是这空间商主要是支持asp脚本的.哎难道就不能玩php了吗?嘿嘿可以用php+access的php程序啊.百度了下发现了c-blog这个程序,它有个php+access版本的.down下了看看,就有了这次测试的结果.1.暴出物理路径在看了这个blog后,发现他写的到上没什么太大的bug,文件比较少而且简结.它的说明上看到了
·2007-01-16 00:00

DVBBS7.1 SQL版 跨库漏洞

漏洞测试环境:DVBBS7.1SQL受影响文件admin/admin.asp.....漏洞利用(select@@version)>0获得Windows的版本号anduser_name()='dbo'判断当前系统的连接用户是不是
·2007-01-16 00:00
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他