SoftNight

微信:s0ftn1ght

发私信
  • 他的文章(97)
  • 他的评论(3)
  • Web安全

    SCP命令注入

    对于个人使用,Rsync和SCP都没问题,不过对于任何使用不信任来源或者用户提供的路径/文件名时,切记要使用STFP或者使用rsync -s。除非路径在作为命令行参数再次转义前得到充分的转义,否则不要相信任何来自非信任用户输入的SCP命令。

    2018年12月21日

    40,861
    0
  • 系统安全

    渗透测试靶机fowsniff通关攻略

    本篇文章将为大家分享渗透测试靶机fowsniff,获取root权限的攻略。

    2018年12月20日

    43,257
    1
  • Web安全

    成为优秀的域名牧羊人

    当我们为网络钓鱼活动或者C&C服务器选择域名时,域名的分类和年龄是值得考虑的很重要的因素。

    2018年12月19日

    41,145
    0
  • 漏洞

    看我如何通过nodejs中的SSRF完全控制aws

    ​这是作者在hackerone上一个私人漏洞奖金计划中发现的一个漏洞,发现,利用和写报告足足花了12个半小时。通过这次挖洞,作者学到了很多东西,所以想在此跟大家分享一下。

    2018年12月18日

    45,580
    7
  • Web安全

    XSS有长度限制?试试这几招

    在某些情况下,你可以执行JavaScript代码,但是却只能使用alert,因为它对字符输入长度做了限制。

    2018年12月17日

    32,418
    0
  • Web安全

    Drupal web服务器从脏牛到持续后门

    本文,我们将讲解一种简短有效而且十分严重的攻击,攻击对象是基于Linux的系统。

    2018年12月14日

    37,071
    0
  • 技术

    通用xxe检测方法

    本文将会介绍一些手工渗透过程中检测XXE(XML外部实体注入)漏洞的思路,当然也会有一些自动测试。这些思路都是作者以前在黑盒测试过程中遇到的xxe漏洞的经验总结。

    2018年12月12日

    56,005
    0