密码保护:日常规范 – 设备上下架规范

密码保护:日常规范 – 设备上下架规范
机房设备上架标准流程 V0.1   2016年5月 一、目标 为规范机房设备上架流程、设备摆放、设备管理以及保障日程运维、紧急情况处理等工作,特制订本流程。 二、涉及对象 涉及设备:所有需要进入机房并且安装的设备,也包括需要跨机柜迁移的设备。 涉及人员:设备管理员、网络管理员、机房设施管理员、财产管理员(设备管理员包括:系统管理员、网络管理员、安全设备管理员等人...
2017年06月13日 学习笔记 要查看留言请输入您的密码。 喜欢 0 阅读 2,572 views 次 阅读全文

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS
请注意,本文主要说明攻击思路。 CRLF注入这个漏洞我碰到的真是特别少,有印象的是总共碰到过两次,那两次还都无法实际利用,可能过滤了换行的参数吧。不过这次也算是巧合SN发现了几处CRLF注入,这里我挑选了一处比较有意思的来说说,如下图。   http://xxxx.SN.com/cxxxxxxxxs?sid=16xxxxxx8&tid=1612xxxxxxxxx0614&ap=NDQzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
2017年06月06日 漏洞安全 暂无评论 喜欢 0 阅读 4,494 views 次 阅读全文

32个触发事件XSS语句的总结

32个触发事件XSS语句的总结
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert(bem)">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV onmouseleave="alert(bem)" style="BACKGROUND-COLOR: red">123456</DIV> 3、onmousewheel:当鼠标在选区滚轮时执行代码 <DIV onmousewheel="alert(bem)" style...
2017年06月02日 汪洋大海 暂无评论 喜欢 0 阅读 2,858 views 次 阅读全文

一个有趣的 XSS 漏洞 1

一个有趣的 XSS 漏洞 1
说实话能找到这篇文字也是巧合,曾经的大牛:Mramydnei,现在已不知何处,曾经的法克论坛,现在已经烟消云散。 文章作者:Mramydnei 来源:法克论坛 (已关闭,别闹,博主我曾经还是核心元老呢) 本博主自认为,我博客应该是网上保存的最完整的带来源带图带作者的博客文章了。 最近认识了个新基友,天天找我搞 XSS,搞了三天,感觉这一套程序还是很...
2017年06月02日 汪洋大海 暂无评论 喜欢 0 阅读 3,120 views 次 阅读全文

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免
起因是这样的,前几天在SN网购物,然后无意发现一枚SN某分站绕WAF实现反射XSS,然后就顺手提交到他们的安全平台了。一个反射XSS么,我个人也没觉得这个能给很多分,或者有多大危害,结果他们确实也忽略了,不过忽略的理由奇葩到极限了。忽略理由请看上文的结尾部分。 然后就有了此文,一顿找反射XSS,因为不能开扫描器,结果找着找着,发现了一个通杀SN所有分站的一个反射XS...
2017年06月01日 漏洞安全 暂无评论 喜欢 1 阅读 3,611 views 次 阅读全文

Windows 2008中配置Rsync同步Linux文件

Windows 2008中配置Rsync同步Linux文件
因为需要对某些源代码检查的需要,这里需要把Linux服务器中的源码同步到本地,因为服务器中的设置我并不知道,而运维的人只给了一个linux的 rsyncd.conf配置文件,就让我同步,无奈自己的服务器是windows的。 研究了好一会。 最终实现的命令是: rsync -avz [email protected]::xxxxxx /cygdrive/d/wenjianjia/   --port=28950 # 端口 -vzrtopg --progress # 显示同步过...
2017年05月26日 学习笔记 暂无评论 喜欢 0 阅读 2,755 views 次 阅读全文

python 暴力破解某http登陆接口

python 暴力破解某http登陆接口
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 # -*- coding: utf-8 -*- # 利用python 写的多线程爆破后台用户名+密码(自备字典),比较实用,即使是在信息安全这么重视的今天,还是有人不加验证码或者异常访问限制之...
2017年05月25日 汪洋大海 暂无评论 喜欢 1 阅读 3,160 views 次 阅读全文

绕SN WAF实现反射XSS 记载XSS平台code(一)

绕SN WAF实现反射XSS 记载XSS平台code(一)
某日在逛SN的线上商城,发现一个URL,然后就随手看了一下,如下图。 SN某分站 (点击看大图) 仔细看了一下,里面明显有两个参数有问题啊。 orderId  和 vendorCode  似乎提交什么值,他们俩就会在网页中显示什么值。那么是不是可以构造一个反射XSS的URL了?如下图: URL中含有JS代码报错(点击可看大图) 哎呦,居然出错了,估计应该内部有拦截吧,然后测试了一下img图片的标签...
2017年05月25日 漏洞安全 评论 1 条 喜欢 0 阅读 5,127 views 次 阅读全文

讲课心得 之 蜕变

讲课心得 之 蜕变
昨天在工作单位给研发还有测试的朋友们讲了一堂课,是我第5次讲课。主要讲安全这块,全部都拿真实的案例来讲解漏洞所造成的危害有多大。下面说说感慨吧。 还记得第一次讲课,好像才不到20人吧,当时紧张的不要不要的。不过在讲课的过程中发现,大声说话可以缓解紧张的心理。而且非常有作用。但是要注意声音不要太过分,要学会控制。虽然很尴尬,而且下面的人我感觉可能听的...
2017年05月17日 个人日记 评论 2 条 喜欢 9 阅读 4,137 views 次 阅读全文

windows update 更新IP地址集合(windows 更新IP段 合集 收集)

windows update 更新IP地址集合(windows 更新IP段 合集 收集)
因为某些情况下,公司需要禁用这些IP段,晚上花了近4个小时通过各种方法找到了下面的这些数据,虽然不敢说全,但是尽力了。真真的,你看看这篇文字发布的时间也许你就懂了。当然,如果我会反编译windows程序也许会更轻松。好了,不说废话了,直接给出IP地址。 ------------------------------------------------------------------ 65.55.50.189 65.55.50.158 65.55.50.157 ...
2017年05月14日 学习笔记 暂无评论 喜欢 4 阅读 12,408 views 次 阅读全文