自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

微信公众号Bypass

一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:Web安全、代码审计、内网渗透、应急响应、企业安全等领域。

  • 博客(71)
  • 资源 (3)
  • 收藏
  • 关注

原创 从乙方到甲方,我在做什么

从乙方到甲方,我在做什么最近,总有朋友在问,从一座熟悉的城市到陌生的环境,从乙方到甲方,这个转换挺大的,会不会有挫败感,你平时工作内容主要是哪些?答:还好吧,开始去尝试新的东西,能够有充足的时间去思考自己想要做事情,并亲自去实践。刚入职时,正值几个重要的应用系统要上线,这不正是我擅长的领域嘛,通过黑盒渗透发现了很多高危漏洞,比如:可以查看任何人薪资,想看谁就看谁的,可以细到月份...

2018-12-27 13:23:00 1285

原创 IBM安全产品--QRadar

IBM安全产品--QRadarQRadar的主要威胁情报来源X-Force:https://exchange.xforce.ibmcloud.com/ QRadar演示:  posted @ 2018-12-26 14:31 Bypass 阅读(...) 评论(...) 编辑 收藏...

2018-12-26 14:31:00 1370

原创 【中间件安全】WebSphere安全加固规范

【中间件安全】WebSphere安全加固规范     1. 适用情况适用于使用WebSphere进行部署的Web网站。2. 技能要求熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。3. 前置条件根据站点开放端口,进程ID,确认站点采用WebSphere进行部署;找到WebSphere...

2018-12-24 11:03:00 2972

原创 【中间件安全】Jboss安全加固规范

【中间件安全】Jboss安全加固规范1. 适用情况适用于使用Jboss进行部署的Web网站。适用版本:5.x版本的Jboss服务器2. 技能要求熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。3. 前置条件根据站点开放端口,进程ID,确认站点采用Nginx进行部署;找到Jboss安装目录,针对具体站点对配置文件进行修改;在...

2018-12-24 10:23:00 2691

原创 【中间件安全】IIS6安全加固规范

【中间件安全】IIS6安全加固规范1. 适用情况适用于使用IIS6进行部署的Web网站。2. 技能要求熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。3. 前置条件1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;2、 启用IIS方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;方法二:开...

2018-12-24 09:28:00 2718 1

原创 【中间件安全】Weblogic 安全加固规范

1. 适用情况适用于使用Weblogic进行部署的Web网站。2. 技能要求熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。3. 前置条件1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;2、找到Weblogic站点位置4. 详细操作4.1 控制台用户设置1、用户弱口令修改 ...

2018-12-14 14:23:00 5378 2

原创 【中间件安全】Nginx 安全加固规范

1. 适用情况适用于使用Nginx进行部署的Web网站。2. 技能要求熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。3. 前置条件1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署;2、 找到Nginx安装目录,针对具体站点对配置文件进行修改;3、 在执行过程中若有任何疑问或建议,应及时反馈。4. 详细操作4....

2018-12-14 13:59:00 4651

原创 【中间件安全】Tomcat 安全加固规范

1. 适用情况适用于使用Tomcat进行部署的Web网站。2. 技能要求熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。3. 前置条件1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署;2、找到Tomcat路径:方法一:开始->所有程序->Apache Tomcat->打开文件位...

2018-12-14 09:51:00 5849 2

原创 【中间件安全】IIS7.0 安全加固规范

1. 适用情况适用于使用IIS7进行部署的Web网站。2. 技能要求熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。3. 前置条件1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;2、 启用IIS方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;方法二:开始->管理工具->Inte...

2018-12-14 09:39:00 5703

原创 【中间件安全】Apache 安全加固规范

1. 适用情况适用于使用Apahce进行部署的Web网站。2. 技能要求熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固。3. 前置条件1、 根据站点开放端口,进程ID,确认站点采用Apache进行部署;2、 找到Apache配置文件4. 详细操作4.1 禁止目录浏览(1) 备份httpd.conf配置文件,修改内...

2018-12-14 09:33:00 5772 1

原创 Excel 保护工作表

1、选取整张表格,格式--设置单元格格式--锁定状态2、将用户可编辑区域解锁3、在审阅--保护工资表,设置除第一行不选,其他全选,添加密码保护,确定...

2018-12-13 12:44:00 110

原创 【应用安全】S-SDLC安全开发生命周期

0x01 S-SDLC简介OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布。S-SDLC被越来越多的企业所重视,纷纷开始实施。S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低...

2018-12-13 10:07:00 679

原创 【代码审计】YUNUCMS_v1.0.6 后台代码执行漏洞分析

 0x00 环境准备QYKCMS官网:http://www.yunucms.com网站源码版本:YUNUCMSv1.0.6程序源码下载:http://www.yunucms.com/Download/index.html测试网站首页: 0x01 代码分析1、漏洞文件位置:/app/admin/controller/System.php   第8-24行:publ...

2018-12-03 09:38:00 577

原创 【代码审计】YUNUCMS_v1.0.6 前台反射型XSS跨站脚本漏洞分析

 0x00 环境准备QYKCMS官网:http://www.yunucms.com网站源码版本:YUNUCMSv1.0.6程序源码下载:http://www.yunucms.com/Download/index.html测试网站首页: 0x01 代码分析1、漏洞文件位置:/app/index/controller/Tag.php  第1-12行:&...

2018-12-03 09:38:00 345

原创 【代码审计】大米CMS_V5.5.3 后台多处存储型XSS漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、漏洞文件位置:/Admin/Lib/Action/keyAction.c...

2018-12-03 09:37:00 392

原创 【代码审计】大米CMS_V5.5.3 目录遍历漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、漏洞文件位置:/Admin/Lib/Action/TplAction.c...

2018-12-03 09:37:00 355

原创 【代码审计】大米CMS_V5.5.3 任意文件读取漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、漏洞文件位置:/Admin/Lib/Action/TplAction.c...

2018-12-03 09:37:00 392

原创 【代码审计】大米CMS_V5.5.3 任意文件删除及代码执行漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、漏洞文件位置1:/Admin/Lib/Action/TplAction....

2018-12-03 09:37:00 501

原创 【代码审计】OTCMS_PHP_V2.83_代码执行漏洞分析

 0x00 环境准备OTCMS官网:http://otcms.com网站源码版本:网钛CMS PHP版 V2.83 [更新于2017.12.31]程序源码下载:http://d.otcms.com/php/OTCMS_PHP_V2.83.rar测试网站首页: 0x01 代码分析1、漏洞文件地址:/admin/sysCheckFile_deal.php  第...

2018-12-03 09:37:00 380

原创 【代码审计】五指CMS_v4.1.0 copyfrom.php 页面存在SQL注入漏洞分析

 0x00 环境准备五指CMS官网:https://www.wuzhicms.com/网站源码版本:五指CMS v4.1.0 UTF-8 开源版程序源码下载:https://www.wuzhicms.com/download/测试网站首页: 0x01 代码分析1、漏洞文件位置:/coreframe/app/core/admin/copyfrom.php  ...

2018-12-03 09:37:00 565

原创 【代码审计】五指CMS_v4.1.0 后台存在SQL注入漏洞分析

 0x00 环境准备五指CMS官网:https://www.wuzhicms.com/网站源码版本:五指CMS v4.1.0 UTF-8 开源版程序源码下载:https://www.wuzhicms.com/download/测试网站首页: 0x01 代码分析1、漏洞文件位置:/coreframe/app/promote/admin/index.php 第...

2018-12-03 09:37:00 1068

原创 【代码审计】大米CMS_V5.5.3 代码执行漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、漏洞文件位置:/Admin/Lib/Action/ConfigActio...

2018-12-03 09:36:00 446

原创 【代码审计】YzmCMS_PHP_v3.6 任意文件删除漏洞分析

 0x00 环境准备YzmCMS官网:http://www.yzmcms.com/程序源码下载:http://pan.baidu.com/s/1pKA4u99测试网站首页: 0x01 代码分析1、文件位置: /application/member/controller/member.class.php 第118-132行中:public functio...

2018-12-03 09:36:00 817

原创 【代码审计】XYHCMS V3.5URL重定向漏洞分析


  
0x00 环境准备
XYHCMS官网:http://www.xyhcms.com/
网站源码版本:XYHCMS V3.5(2017-12-04 更新)
程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html
测试网站首页:
 
0x...

2018-12-03 09:36:00 486

原创 【代码审计】YzmCMS_PHP_v3.6 CSRF漏洞分析


  
0x00 环境准备
YzmCMS官网:http://www.yzmcms.com/
程序源码下载:http://pan.baidu.com/s/1pKA4u99
测试网站首页:
 
0x01 代码分析
1、文件位置: /application/admin/controller/admin_m...

2018-12-03 09:36:00 453

原创 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析

 0x00 环境准备大米CMS官网:http://www.damicms.com网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15)程序源码下载:http://www.damicms.com/downes/dami.rar测试网站首页: 0x01 代码分析1、首先来看一下全局过滤代码/php_safe.php 第24-33行中:...

2018-12-03 09:36:00 638

原创 【代码审计】YzmCMS_PHP_v3.6 代码执行漏洞分析


  
0x00 环境准备
YzmCMS官网:http://www.yzmcms.com/
程序源码下载:http://pan.baidu.com/s/1pKA4u99
测试网站首页:
 
0x01 代码分析
1、文件位置: /application/admin/controller/sql.cla...

2018-12-03 09:36:00 2444

原创 【代码审计】XYHCMS V3.5任意文件下载漏洞分析

 0x00 环境准备XYHCMS官网:http://www.xyhcms.com/网站源码版本:XYHCMS V3.5(2017-12-04 更新)程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html测试网站首页: 0x01 代码分析1、漏洞文件位置:/App/Manage/Controller...

2018-12-03 09:35:00 786

原创 【代码审计】XYHCMS V3.5任意文件删除漏洞分析

 0x00 环境准备XYHCMS官网:http://www.xyhcms.com/网站源码版本:XYHCMS V3.5(2017-12-04 更新)程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html测试网站首页: 0x01 代码分析1、漏洞文件位置:/App/Manage/Controller...

2018-12-03 09:35:00 621

原创 【代码审计】XIAOCMS_后台database.php页面存在SQL注入漏洞


  
0x00 环境准备
XIAOCMS官网: http://www.xiaocms.com/
网站源码版本:XiaoCms (发布时间:2014-12-29)
程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip
测试网站首页:
 &#13...

2018-12-03 09:35:00 613

原创 【代码审计】XIAOCMS_后台database.php页面存在任意文件删除漏洞


  
0x00 环境准备
XIAOCMS官网: http://www.xiaocms.com/
网站源码版本:XiaoCms (发布时间:2014-12-29)
程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip
测试网站首页:
 &#13...

2018-12-03 09:35:00 272

原创 【代码审计】XYHCMS V3.5任意文件读取漏洞分析

 0x00 环境准备XYHCMS官网:http://www.xyhcms.com/网站源码版本:XYHCMS V3.5(2017-12-04 更新)程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html测试网站首页: 0x01 代码分析1、漏洞文件位置:/App/Manage/Controller...

2018-12-03 09:35:00 620

原创 【代码审计】XYHCMS V3.5文件上传漏洞分析


  
0x00 环境准备
XYHCMS官网:http://www.xyhcms.com/
网站源码版本:XYHCMS V3.5(2017-12-04 更新)
程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html
测试网站首页:
 
0x...

2018-12-03 09:35:00 986

原创 【代码审计】XYHCMS V3.5代码执行漏洞分析

 0x00 环境准备XYHCMS官网:http://www.xyhcms.com/网站源码版本:XYHCMS V3.5(2017-12-04 更新)程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html测试网站首页:0x01 代码分析1、文件位置: /App/Manage/Controller/S...

2018-12-03 09:35:00 1947

原创 【代码审计】QYKCMS_v4.3.2 后台down.php页面代码执行漏洞分析


  
0x00 环境准备
QYKCMS官网:http://www.qykcms.com/
网站源码版本:QYKCMS_v4.3.2(企业站主题)
程序源码下载:http://bbs.qingyunke.com/thread-13.htm
测试网站首页:
 
0x01 代码分析
1、漏洞文...

2018-12-03 09:34:00 104

原创 【代码审计】TuziCMS_v3.0_任意文件删除漏洞分析


  
0x00 环境准备
TuziCMS官网:http://www.tuzicms.com/
网站源码版本:TuziCMS_v3.0_20161220
程序源码下载:http://www.tuzicms.com/index.php/download
测试网站首页:

0x01 代码分析
...

2018-12-03 09:34:00 317

原创 【代码审计】UKCMS_v1.1.0 文件上传漏洞分析


  
0x00 环境准备
ukcms官网:https://www.ukcms.com/
程序源码下载:http://down.ukcms.com/down.php?v=1.1.0
测试网站首页:
 
 
0x01 代码分析
1、文件位置: /application/admin/contr...

2018-12-03 09:34:00 444

原创 【代码审计】XIAOCMS_存在任意文件删除漏洞分析


  
0x00 环境准备
XIAOCMS官网: http://www.xiaocms.com/
网站源码版本:XiaoCms (发布时间:2014-12-29)
程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip
测试网站首页:
 &#13...

2018-12-03 09:34:00 530

原创 【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

 0x00 环境准备QYKCMS官网:http://www.qykcms.com/网站源码版本:QYKCMS_v4.3.2(企业站主题)程序源码下载:http://bbs.qingyunke.com/thread-13.htm测试网站首页: 0x01 代码分析1、漏洞文件位置:/include/lib_post.php 第153-200行:case...

2018-12-03 09:34:00 223

原创 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析


  
0x00 环境准备
JTBC(CMS)官网:http://www.jtbc.cn
网站源码版本:JTBC_CMS_PHP(3.0) 企业版
程序源码下载:http://download.jtbc.cn/php/3.0/PHP_JTBC_CMS.C.zip
测试网站首页:
 
 
0...

2018-12-03 09:33:00 363

《恶意代码分析实战》官方实验样本

学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。

2021-01-13

应急响应实战笔记_2020最新版.pdf

整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。

2020-06-24

WAF攻防实战笔记v1.0--Bypass.pdf

这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。

2020-03-30

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除