135 天前 / Alpha_h4ck
在JavaScript文件中存储敏感数据,不仅是一种错误的实践方式,而且还是一种非常危险的行为,长期以来大家都知道这一点。 而原因也非常简单,我们可以假设你为你的用户动态生成了一个包含API密钥的JavaScript文件: apiCall= function(type, api_key, data) { ... } var api_key = '1391f6bd2f6fe8dcafb847e0615e5b29' var profileInfo = apiCall('getProfile', api_key, 'all') 跟上述例子一样,每当你在全局范围创建一个变量,意味着网站中任何一部分代码都可以访问到这个变量,包括你托管的其他脚本在内。 为什么这样做很明显是不......
138 天前 / zusheng
*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言如今市面上的WAF几乎都已经具备了针对RCE攻击的防御能力,这些WAF并不是想象中毫无破绽,当Web服务器是Linux平台时我们就可以利用一些技巧来绕过WAF规则集。本文主要总结Linux平台下针对RCE WAF的绕过技巧,Windows平台不在本文考虑范围内。 0×01 技巧一:通配符在bash的操作环境中有一个非常有用的功能,那就是通配符,下面列出一些常用的通配符: * 代表『 0 个到无穷多个』任意字符 代表『一定有一个』任意字符[ ] 同样代表『一定有一个在括号内』的字符......
138 天前 / zhanghaoyil
PS:本文仅作技术讨论,禁止用于其他非法用途 *本文原创作者:zhanghaoyil,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×0 写在前面 做Web安全已经三四年了,从最初的小白到今天的初探门路,小鲜肉已经熬成了油腻大叔。Web安全是一个日新月异的朝阳领域,每天的互联网上都在发生着从未暴露的0 Day和N Day攻击。这时一个大家都意识到的重要问题就浮出水面了:如何能从海量Web访问日志中把那一小撮异常请求捞出来,供安全人员分析或进行自动化实时阻断和报警? 对于这个问题,传统的方法是利用传统的WAF(无机器学习引擎),进行规则匹配。......
138 天前 / secist
Web应用防火墙通常会被部署在Web客户端与Web服务器之间,以过滤来自服务器的恶意流量。而作为一名渗透测试人员,想要更好的突破目标系统,就必须要了解目标系统的WAF规则,以及想办法绕过该规则。本文将以CloudFlare WAF和ModSecurity OWASP CRS3为例,为大家进行演示如何使用未初始化的Bash变量,来绕过基于WAF正则表达式的过滤器和模式匹配。 未初始化变量在之前两篇关于过WAF的文章中,我为大家介绍了如何在Linux系统上通过滥用bash globbing进程,来绕过WAF规则集并执行远程命令的技巧。在本文中我将向大家展示另一种,使用未初始化bash变量......
138 天前 / Alpha_h4ck
严正声明:本文仅限于技术讨论,严禁用于其他用途。 话不多说,我们直奔主题! 当时我在研究Chrome支付处理API(PaymentHandler API)的时候,我发现了下面这句话: Chrome还支持一个非标准功能,我们将其命名为’及时安装功能’(JIT)。 非常好,这名字一听起来就感觉像存在bug的。所以我赶紧对这个功能的工作机制进行了研究【参考资料】。首先,支付处理API允许支付服务提供商处理发送给他们的支付请求,那支付App的JIT安装功能又是什么呢?具体我就不解释了,请大家接着往下看。 当客户端使用服务器不支持的方法来调用支付请求的时候......
141 天前 / alphalab
一、背景介绍ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。 在近期,ThinkPHP框架被曝出存在SQL注入漏洞。由于SQL注入漏洞的危害性以及该框架应用十分广泛。 对此,天融信阿尔法实验室以静态和动态两种方式对该漏洞进行了深入分析。 1.1 漏洞描述在ThinkPHP5.1.23之前的版本中存在SQL注入漏洞,该漏洞是由于程序在处理order by 后......
141 天前 / littlepotato
*本文作者:littlepotato,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发,总结记录php相关安全。新手上路,向前辈致敬。 请充分了解你的php基本信息注意到以下的文件结构在新版本php或者不同的发行版中略有不同,就好比在ubuntu18.04中安装php7就和下面的文件结构有较大的差别,所以下面的文件仅仅作为一个......
142 天前 / MyKings
上一篇文章《代码自动化扫描系统的建设(上)》主要介绍了自动扫描系统的背景和要实现的目标,这篇里我们将会详细介绍各个层与模块的设计。 一、系统设计1.1 基础与准备这里我们主要使用 Linux 来搭建我们的自动化扫描系统,按照设计的角色划分,我们这里需要三台 CentOS 7 的服务器,当然服务器可以是物理设备也可以是虚拟机,如果公司内部的扫描项目较多或为以后扩展考虑意见使用物理机。
143 天前 / 千里目安全实验室
一、CVE-2018-8373漏洞的初步分析2018年8月15日,趋势科技披露了他们发现的一起浏览器漏洞攻击事件。在检测到的攻击流量中,攻击者使用了cve-2018-8373这个漏洞来攻击IE浏览器,访问存在该漏洞的页面可能导致远程代码执行。有经验的研究员应该了解,在大部分的EK工具包中,针对IE浏览器的漏洞经常被用来做网页挂马,国外通常称为“Drive-By-Download”攻击。 该漏洞使用的混淆方式和之前披露的 CVE-2018-8174 类似,漏洞利用代码估计是同一批人所编写的。而趋势科技在报告中提到他们通过启发式分析检测到了该流量,目前来说主流的浏览器漏洞检测方......
147 天前 / 杭州安恒信息
互联网信息爆炸时代,你的网站是否在无意中被挂暗链,无辜成为黑灰产业的帮凶? 安恒风暴中心的产品「数据大脑」近期跟踪发现,国内站点暗链情况较为严重,据不完全检测统计,国内有超过5万站点已被植入暗链。 暗链的猖獗,很大程度上是由于黑产暴利行业的推动,因此暗链不仅仅是单个站点安全问题,更是网络空间中的非法产业的滋生传播,影响网络空间和社会秩序的问题。 暗链是什么? 怎么推进黑灰产业的发展? 是什么样的技术手段实现的? 将会带来怎样的企业公关危机及社会危害? 暗链行为如何从根源上防护? 下面我们就要揭晓了! 20......
148 天前 / 为了逆袭
*本文作者:为了逆袭,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言最近遇到两个个案例,经过一番倒腾,发现其登录功能均可撞库。但是都存在登录数据本地加密,有空了放一起总结记录一下。 一、案例1(RSA本地加密)摸底:首先,进行正常登录逻辑测试,发现该系统登录逻辑分下面两步: 输入正确用户名密码,校验正确后,向注册手机号发送验证码; 输入正确验证码,登录系统。 从该逻辑可知此处可通过填写登录用户名密码后是否发送验证码来判断输入数据是否为正确用户登录凭证,由于站点未对获取验证码提交频率作任何限制,从而可自......
150 天前 / clouds
在HackerOne实时更新的公开漏洞推送Hacktivity消息中,我们可以发现,其中的子域名劫持漏洞(Subdomain Takeover)占比不少。自从2014年Detectify实验室发布了一系列子域名劫持攻击姿势的文章之后,众测行业出现了大量此类问题相关的上报漏洞。 子域名劫持漏洞的基本前提可以大致的解释为,发生了错误配置情况,对应主机指向了一个当前未在用的特定服务,这样一来,攻击者就能通过在该特定的第三方服务中注册账户,声明对该子域的接管权限,由此,在该子域上部署网络服务,实现对该子域有目的的利用。作为一位白帽和安全分析师,我每天都会遇......
151 天前 / MyKings
代码审计一直是企业白盒测试的重要一环,面对市场上众多商业与开源的审计工具,你是否想过集众家之所长来搭建一套自动化的扫描系统呢?也许这篇文章会给你一些思路:) 一、背景1. 为什么需要自动化扫描?互联网的快速发展,程序员是功不可没的。从软件开发的瀑布模型到现在的敏捷开发, 软件的开发周期从数年到数月、从数月到数天,时间不断变换缩减。传统的代码扫描方式已经不能跟进新时代的软件开发流程中,这就需要改变我们的代码扫描方式,它应该在有限的时间内尽量发现足够多的安全问题,并能够结合CI (持续集成)来触发代码扫描。 2. 自动化......