一、简介
不得不说,随着时代的发展,游戏产业在近几年的互联网潮流中越来越扮演者重要的地位,与之而来的不仅有网络游戏公司的春天,还有游戏灰色产业的暗流涌动。在游戏产业的发展中,诞生了一大批所谓的“外x挂”开发人员,他们不断的利用游戏的漏洞,在违法牟利的同时,也促进了游戏安全行业的进步。
同时,在游戏安全的对抗中,诞生了以下几种技术以防止游戏作弊的发生:
⒈数据检测:对基础的游戏数据进...
实战某游戏厂商FPS游戏CRC检测的对抗与防护
常见未授权访问漏洞总结
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
常见的未授权访问漏洞:
Redis 未授权访问漏洞
MongoDB 未授权访问漏洞
Jenkins 未授权访问漏洞
Memcached 未授权访问漏洞
JBOSS 未授权访问漏洞
VNC 未授权访问漏洞
Docker 未授权访问漏洞
ZooKeeper 未授权访问漏洞
Rsync 未授权访问漏洞
Atlassian Crowd 未授权访问漏洞
CouchDB 未授权访问漏洞
Elasticsearch ...
又双叒叕谈注入
前言
继续对SQL注入进行一个总结以及学习,本文目录如下:
SQL约束攻击
order by后的注入
insert、update、delete后的注入
http分割注入
desc相关问题
万能密码
\N问题
唔,新姿势不多,望各位师傅莫怪
SQL约束攻击
SQL约束攻击并不是一种很新颖的攻击方式,它的成因是因为在处理SQL中的字符串时,字符串末尾的空格字符都会被删除。换句话说,“lengyi”与“lengyi ”几乎是等效的,这在大多数情况下是正确的...
windows远程执行cmd命令的9种方法
一、远程执行命令方式及对应端口:
IPC$+AT 445
PSEXEC 445
WMI 135
Winrm 5985(HTTP)&5986(HTTPS)
二、9种远程执行cmd命令的方法:
1.WMI执行命令方式,无回显:
wmic /node:192.168.1.158 /user:pt007 /password:admin123 process call create "cmd.exe /c ipconfig>d:\result.txt"
2.使用Hash直接登录Windows(HASH传递)
抓取windows hash值,得到administrator的hash:
598DDCE2660D...
从 XSS Payload 学习浏览器解码
前几天看了浏览器解码看XSS,没有看得很明白,又找了这篇深入理解浏览器解析机制和XSS向量编码,翻译的文章,有些地方翻译的怪怪的,需要看下原文,啃了2天终于搞明白了
原文里给出了几个XSS Payload,也给出了答案和演示地址,有答案但没解析,下面一个个分析
有点像上学的时候,看书看不懂,做题不会做,看答案解析做题就懂了
Basics
1
<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%...
Fortigate SSLVPN漏洞分析和利用
0x00 前言
该事情发生于去年8月,当时我们开始了一个新的SSL VPN研究项目。与ipsec和pptp等站点到站点VPN相比,ssl vpn更易于使用,并且可与任何网络环境兼容。为了方便起见,ssl vpn成为企业最流行的远程访问方式!
但是,如果这个可信的设备是不安全的呢?它是一项公司的重要资产,但却是公司的盲点。根据我们对财富500强的调查,排名前三的SSL VPN供应商占据了大约75%的市场份额。ssl-vpn的多样性很小...
浅谈MSF渗透测试
在渗透过程中,MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。
前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一...
密码保护:Java Web安全-代码审计
@Author 安百科技 - 凌天实验室 - 园长
@Email [email protected]
@Date 2018-12-29
@Github javaweb-codereview
一、JavaWeb安全基础
1. 何为代码审计?
通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其源码,而对于已编译的cla...
打造Mac下APK逆向环境到实战接口XSS挖掘
前言
想尝试逆向APK来发现一些接口和安全问题,但是Mac下没啥好用的APK逆向工具,于是我就参考文章:https://blog.csdn.net/jyygn163/article/details/71731786 的思路在Mac下使用homebrew安装:
brew install apktool
brew install dex2jar
JD-GUI去http://jd.benow.ca/下载,这里我是用的是jar版。
过程
自动化编译
手动敲命令太繁琐了,写个shell脚本一键化。
在.bash_profile文件(环境变量)加...
iOS URL Schemes与漏洞的碰撞组合
前言
iOS URL Schemes,这个单词对于大多数人来说可能有些陌生,但是类似下面这张图的提示大部分人应该都经常看见:
今天要探究的就是:了解iOS URL Schemes、如何发现iOS URL Schemes、iOS URL Schemes结合漏洞案例。
iOS URL Schemes
基本概念
抛开iOS从URL Schemes的字面意思理解,就是地址协议(Scheme一般用来表示协议,比如 http、https、ftp 等),我们所熟知的HTTP协议的URL格式就是:
http(s):/...