Stardustsky个人博客

全部文章    总计9页,当前第3页

网络安全

SaiFD指纹识别工具

2

    碍于各种琐碎和杂事,好久没写文章了,最近完成了一个简单的网站指纹识别工具demo,分享一下。    采用的是执行脚本+cms.json的格式,脚本调用cms.json文件中的cms指纹特征来进行识别,然后返回对当前网站判断的结果,列出是某种cms的可能性,概率从高到低排列...

2年前 (2017-01-19) 阅读(1055) 评论()

编程之路

PHP微型框架设计

3

一、框架整体分析在实现一个框架之前,我们需要了解这个框架应该达到一个怎样的效果,按照传统框架的思路,大致可以总结出以下这么几条:1.实现MVC架构,将控制、逻辑、视图层进行分离。2.封装各种函数及功能模块,实现一处编写,多处调用,减少代码冗余。3.便于扩展,可方便的引入外部扩展库,对自身框架进行增强。4.选好设计模式,封装或编写各种引擎模块。基本的框架需求大...

2年前 (2016-10-12) 阅读(884) 评论()

编程之路

SaiProbe V1.0 内网渗透辅助脚本

2

我们在渗透内网的时候经常会遇到一个问题,就是一旦进入内网,就需要做各种代理才能搞到其它的机器,很麻烦。于是,我尝试通过脚本的手段来解决一些可能遇到的麻烦,尽量减小我们对目标机器本身所做的操作,于是便有了这个脚本。目前脚本还很简单,只实现一些简单的功能,先分享出来。此外,这个不同于webshell,纯为解决内网问题,所以不会考虑加入文件管理,数据库连接等功能,...

2年前 (2016-05-31) 阅读(1282) 评论()

网络安全

跨过浏览器同源策略

1

0x01 前言同源策略这玩意一直是玩web安全的朋友头疼的问题,如今的浏览器沙盒对这方面的限制越来越严格,可利用的场景也愈加有限,但仍旧存在绕过同源策略一些tips。其实很早就想写这篇文章了,最近看到一些关于这方面的话题,刚好做一个总结。0x02 同源策略简介简单来说:同源策略就是域名、协议或端口不同的两个页面在未授权的情况下,无法读取...

3年前 (2016-05-04) 阅读(1148) 评论()

网络安全

一种新的攻击方法——Java-Web-Expression-Language-Injection

2

0×00引言在2014年6月18日@终极修炼师曾发布这样一条微博:链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个ScriptConsole功能,可以执行Groovy脚本语言。下面我们来看下维基百科对于这个脚本语言的解释:Groovy是Java平台上设计的面向对象编程语言...

3年前 (2016-04-15) 阅读(1182) 评论()

数据科学

攻击大数据应用(一)

13

0x01前言随着大数据时代的到来,越来越多的大数据技术已逐渐被应用于实际生产,但作为一个安全人员,我们关注点必然和安全相关,那大数据环境中面临的安全问题又有哪些呢?翻了翻这方面的案例,乌云上已有不少同学发了些这相关的问题,但我发现却没有比较系统的一个整理,这里我做一个paper,整理下这方面的漏洞类型和笔者自己所见到过的一些问题,做一个探索性的总结,希望能与...

3年前 (2016-03-30) 阅读(1031) 评论()