首页web安全列表
  • ebhttps是首款基于eBPF革命性技术的开源web应用防火墙,最大的优点是零配置、不需要导入SSL证书、不中断生产环境等。

    ebhttps一、介绍ebhttps是首款基于eBPF技术的开源web应用防火墙,最大的优点是零配置、不需要导入SSL证书、不中断生产环境等。主要功能有:1.恶意Web漏洞扫描2.数据库SQL注入3.跨站脚本攻击(XSS)4、CC&DDOS防护5、密码暴力破解6.危险文件上传检测7.非法URL/文件访问8.兼容OWASP的ModSecurity正则规则9.eBPF技术零配置,不需要证书、不影响生产…
  • hihttps

    hihttps是一款完整源码的高性能web应用防火墙,既支持传统WAF的所有功能如SQL注入、XSS、恶意漏洞扫描、密码暴力破解、CC、DDOS等ModSecurity正则规则,又支持无监督机器学习,自主对抗未知攻击。
  • 苹果CMS/MacCMS V10后门WebShell,第三方下载注意

    苹果CMS/MacCMS苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。MacCMS后门Webshell某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.co…
  • 利用PHP反序列化免杀D盾、安全狗等WAF软件

    PHP反序列化介绍在PHP进行反序列化时,会将序列化中的变量传入类中,并且调用__destuct等魔法函数。巧妙应用可达到免杀D盾,过安全狗等WAF软件的效果。TestCode1:输出:xxxxO:1:"A":1:{s:4:"name";s:4:"xxxx";}TestCode2:
  • 护卫神主机大师被提权漏洞利用

    “护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin),并可在线开设主机、SQLServer和MySQL;Web方式管理,拥有独立前台和后台面板。支持WindowsServer2008/2012。结合护卫神14年安全防护经验,严格限制每个站点独立权限,彻底阻挡跨站入侵。&rdqu…
  • CentOS-7使用msfupdate更新后无法启动问题

    记录一下今天在VPS上更新msf遇到的问题        今天在启动msf的时候,提醒我超过两周未更新了,于是便使用了提示中的,msfupdate对框架进行了升级。            安装过程很简…
  • 某decms v5.7 sp2 后台 getshell

    前言Dedecms最新版后台getshell太多了,以往漏洞复现可参考[代码审计day3]Dedecms版本:deedcmsv5.7sp2下载链接:http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz漏洞利用在后台默认模板管理先创建一个html。内容为一句话webshell。接着在生成处更新主页的HTM…
  • KALI 2018.1安装VMware-tools

    kali2018.1#cat/etc/issueKaliGNU/LinuxRolling传统的vmtools已经被抛弃,VMwareWorkstation自带的vmware-tools安装后仍然不能相互复制文件,现在建议使用Open-VM-tools。修改源vi/etc/apt/sources.list#中科大更新源debhttp://mirrors.ustc.edu.cn/kalikali-ro…
  • 不使用eval、assert制作webshell

    1、include函数实现思路:将POST过来的参数写入到一个文本里,再去包含文本实现代码执行也可以使用菜刀连接 2、preg_replace函数实现思路:使用/e修饰符实现代码执行 3、ReflectionFunction&动态函数http://127.0.0.1/code_exec.php?func_name=system&args[0]=whoami动态函数example…
  • ecshop2.x代码执行

    前言问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行 漏洞分析0x01-SQL注入先看user.php$back_act变量来源于HTTP_REFERER,我们可控。 assign函数用于在模版变量里赋值 再看display函数读取user_passport.dwt模版文件内容,显示解析变量后的html内容,用_ech…