《安全参考》HACKCTO-201502-26
小编的话《安全参考》2015年02月第26期,作为2015年春节新年礼物送给大家,小编在这里祝大家新年快乐,羊年大吉,喜气洋洋!~感谢大家的支持,感谢团队小伙伴的辛苦付出!~!同样,为了感谢大家...
新型任意文件读取漏洞的研究(任意文件写入漏洞)
0x00 前言早前发现boooom在乌云上发了很多个任意文件读取的漏洞,都是形如http://target/../../../../etc/passwd这样。当时感觉很新奇,因为正常情况下,通常的服务器中间件是不允许直接读取web...
运维工程师必须掌握的基础技能有哪些?(运维工程师的技能要求)
这个问题挺好的,回答这个问题也是对自身的审查,看看自己还欠缺哪些。(所以我估计得好好思考下,也许下一刻我就会突然惊醒,发现我还是战⑤渣)首先限定在Linux运维工程师上回答仅代表我想到...
利用Metasploit来攻击Mysql(metasploit.sh)
MySQL是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。Mysql是中小型网站的首选数据库0x01.判断Mysql数据库版本nmap的指纹识别可以精确的判断数据库的版本号,而...
Samba CVE-2015-0240 远程代码执行漏洞利用实践
在大家欢天喜地度春节时,安全界近日爆出Samba被发现存在远程命令执行漏洞(CVE-2015-0240),安全脉搏有文章《Samba全系版本远程命令执行漏洞(CVE-2015-0240)检测方法及修复建议》,长亭科技KELWI...
聊一聊chkrookit的误信和误用
chkrookit以及rkhunter基本上已经成为类unix系统的应急响应中的标配了。大多数处理安全事件基本上上机器的第一步都是来个两连发。但很多是以失望结束,或者出了结论又不知道如何是好。这...
SQLMap的前世今生(Part1)
一、前言谈到SQL注入,第一时间就会想到神器SQLMAP,SQLMap是一款用来检测与利用的SQL注入开源工具。参见安全脉搏<SqlMap用户手册> <Sqlmap小技巧>那么SQLMap在扫描SQL的逻辑到底是...
大数据的风控与安全防御 | 点融黑帮
导语:互联网金融面对着很多风险,比如:薅羊毛,恶意注册,常规的攻击。针对常规的攻击手段我们或许可以使用WAF,IDS,IPS这些硬件来防护。但是针对薅羊毛这些,我们无从下手,打击力度太大的话...
从SQLMap踩坑到如何优雅地控制子进程(sqlmap 语句)
0x00 场景SQLMap是检测SQL注入漏洞公认的神器,其本身并不支持作为模块导入使用,但是提供了sqlmapapi.py ,它能够启动一个基于bottle的API服务器,对外提供了丰富的API接口。在我们的一些内部应...
OSSEC服务端配置客户端批量部署方案(ossec使用)
0x00 前言最近也在研究ossec报警规则,还没研究的很透彻,暂时不是这篇文章的内容。ossec中文资料还是比较少,外文文献比较多。之前看到drops的两篇文章分享http://drops.wooyun.org/tips/2821...
