本文通过Review PHP远程dos漏洞(CVE-2015-4024),并利用该特性绕过现有WAF的文件上传防御,成功上传shell。 更重要的价值,提供给我们一个绕过WAF的新思路,一种研究新方向。
分类: 安全
【数据可视化】Zeppelin JDBC 数据可视化(WEB方式)
前面有篇文章,介绍Zeppelin MySQL Interpre…
301:浅谈互联网安全现状与攻击趋势
企业对互联网信息技术依赖性越来越强,在企业业务快速发展过程中,衍生出来的安全风险越来越严峻。本文会结合301在今天上海某部门内部发起安全技术论坛议题会给大家分享今天会议内容。
赛克蓝德:运维中被低估的日志
如果把运维看做是医生给病人看病,则日志就是病人对自己的陈述,很多时候医生需要通过对病人的描述中得出病人状况,是否严重,需要什么计量的药,什么类型的药。
OsmocomBB SMS Sniffer
OsmocomBB(Open source mobile communication Baseband)是国外一个开源项目,是GSM协议栈(Protocols stack)的开源实现。其目的是要实现手机端从物理层(layer1)到layer3的三层实现,主要进行2G网短信嗅探。本文详细地介绍了实现方法,以供安全爱好者学习和参考。
云数据库安全初探
从云数据库安全角度,介绍了云环境下数据库安全四种技术路线与安全模型架构,和云数据库安全的关键技术,适合从事云安全、云计算、数据安全等相关人员和安全爱好者学习探讨。
Burpsuite插件开发之RSA加解密
burpsuit是一款非常好用的抓包工具,我自己也是重度用户,所以就上手了burpsuit的插件接口开发,本文主要记录了一个解密请求包,插入payload,再加密的插件开发过程,插件应用场景主要是用于通过分析apk的实现。
“流量劫持”是个啥? 黑客可用手机主人账号发微博
“流量劫持”是什么?跟普通市民有什么关系?在如今的互联网时代,若不了解“流量劫持”,不论是公司还是个人,都有可能吃大亏!本期好奇心就来通过实验告诉你,“流量劫持”有多么可怕,我们到底该如何防范。
为什么需要运维审计?
昂楷运维审计系统(堡垒机)是一款基于B/S架构的操作行为安全审计系统,将身份认证、授权、管理、审计有机地结合,保证只有合法IT运维用户才能使用其拥有运维权限的关键资源, 可实现对IT运维人员操作的事前预防,事中控制,事后审计。
安全事件响应系统设计探讨
今年,绿盟科技推出了基于大数据的安全分析系统,本文即是基于数据分析的安全事件响应系统设计探讨。安全团队在某客户部署了这套系统,接收来自若干台入侵防御系统的日志,利用这套系统为客户提供相应的安全分析服务。
2015年数据库漏洞威胁报告
作者:安华金和数据库安全攻防实验室 思成 互联网就像空气,彻底的…
纵论数据库安全审计产品的三代演进
当前,至少国内所有的数据库安全审计产品距离三代数据库审计产品的目标差距甚远;只有真正掌握数据库核心技术能力的安全厂商,真正具有用户意识的安全厂商,才能生产出三代产品,让我们拭目以待。
庖丁解牛之UPack工作原理及实例分析(3)
绿盟科技博客巨人背后的安全专家 Toggle navigatio…
庖丁解牛之UPack工作原理及实例分析(2)
UPack是软件逆向工程中常见课题;上一篇已经对Runtime压…
庖丁解牛之UPack工作原理及实例分析(1)
大家都清楚运行时压缩器UPack是软件逆向工程中常见课题;了解运…