小白博客

小白博客
专注网络安全

页面载入中,请稍后...

[置顶]致黑阔盆友们

本站主机垃圾的一批不经打,还请大黑阔手下留情,而且本站非商业性,渗透了没什么用处,但是喜欢装A装C的人嘛,呵呵!

页面美化

给emlog网站添加图片抖动效果

给emlog网站添加图片抖动效果,效果可以看本站 把以下代码放入公用css文件中 img:hover { -webkit-animation:sucaijiayuan 1s .1s ease both; -moz-animation:tada 1s .1s ease both; } @-webkit-keyf......

阅读(8)评论(0)

漏洞

Emlog博客系统5.3.1现存bug-请及时修复

注:以下内容转自纸盒博客因此教程引起的一切问题与"小白安全博客"无任何关系。 以下bug来自于小草窝-小草、乌云镜像库 (并修复) 1. csrf导致的data.php 删除文件漏洞 2. 对插件处防止csrf攻击。 3. 修复session验证导致的后台无视验证码暴力......

阅读(5)评论(0)

SEO优化

emlog博客系统去除分类sort优化SEO

分类URL网址中有个sort字样只会在开启伪静态后才显示 想去除EMLOG伪静态分类网址中的sort, include文件夹下,在lib文件夹下找到dispatcher.php和url.php这两个文件使用编辑器打开, 具体看一下内容: 一、使用编辑器打开url.php文件 找到 $sortU......

阅读(7)评论(0)

漏洞

文件包含漏洞-懒人安全

一.漏洞描述 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件是使用硬编码的,那么一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进......

阅读(2)评论(0)

Windows

一种深度隐蔽的后门方式

这是关于域中深度隐蔽后门系列的第二篇,第一篇为利用文件目录ACL深度隐藏后门。 本篇主要介绍利用域中主机账号的口令散列值制作白银票据,结合文章《利用域委派获取域管理权限》中的委派方式,在域中埋伏隐蔽后门,以长期隐蔽有效地高权限控制域。 前提条件:已经控制了域,并获取了域中主机账号的口令散列值。 ......

阅读(5)评论(0)

页面美化

本站使用loader特效

放置head文件或者footer文件都可以,灵活运用 废话不多说直接上代码 <script type="text/javascript"> jQuery(function(){ jQuery('#loading-one').empty().append('页面加载完毕.').parent().fadeOut('......

阅读(29)评论(0)

XSS

XSS手工利用方式-FreeBuf.COM

0×00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将获取的内容传递出来,可以选择购买VPS或者免费的dnslog平台通过get请求来接受数据。 在vps端有很多接受客户端传递数据的方式,包括自己写代码等,现提供以下两种方案作为参考: 1.利用netcat  在命令行运行......

阅读(17)评论(0)

EMLOG

给网站顶部添加一个彩色横条

效果图片 开始  首先,我们需要图片,直接贴出来吧,需要的请直接右键另存为。 GIF滚动优化版   接着,在网站顶部适当位置添加一个Div,自定义一个id,当然你用class问题也不大。我命名的id为top-pn......

阅读(23)评论(0)

EMLOG

EMLOG博客系统插件挂载点及说明

挂载点:doAction('adm_main_top') 所在文件:admin/views/default/header.php 描述:后台红线区域扩展  挂载点:doAction('adm_head') 所在文件:admin/views/default/head......

阅读(21)评论(0)

XSS

XSS跨站脚本攻击的原理分析与解剖

《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1、耗时间 2......

阅读(27)评论(0)

木马

挖矿木马横扫网吧怒赚百万

360互联网安全中心发现多款网吧视频播放软件存在挖矿行为,这些软件占用网吧计算机资源挖取数字货币,不仅严重影响计算机的正常工作,造成机器性能下降,耗电增加,而且长时间挖矿还会......

阅读(24)评论(0)

其他

分享几个绕过URL跳转限制的思路

大家对URL任意跳转都肯定了解,也知道他的危害,这里我就不细说了,过~ 大家遇到的肯定都是很多基于这样的跳转格式 http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx 基本的思路大家就是直接替换后面的URL来检测是否存在任意URL跳转,如果不存在,就直接返回到它自己的......

阅读(52)评论(0)

SQLMAP

批量检测SQL注入工具

0×01 前言 SQL注入,这个类型的漏洞我真的学了好久好久好久好久,即是我刚刚开始接触安全就学习的第一种漏洞,也是一个迄今为止还在学习的漏洞类型,只能说,感觉自己还是有很多还是不会的。从一开始的手工一个网站一个网站去测,到之后的用google hacking的方法去找可疑链接,再到后面用sqlmap批量检测。也是经历了至少半年的时间。今天......

阅读(44)评论(0)

工具【以及工具使用方法】

安全测试者偏爱的安全测试工具

国外网站 Concise Courses 总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。 无线类 1. Metasploit (免费) 2003年,美国网络安全研究员兼开发者 Moore 启动了 Metasploit 项目,目的是创建......

阅读(22)评论(0)

安全资讯

修复KRACK漏洞,WPA3 WiFi标准即将到来

几个月前,WPA2安全协议被曝存在高危漏洞,容易遭受KRACK攻击,这几乎影响了所有的WiFi设备。为了从根本上解决这一问题,也促使新的WiFi网络保护协议WPA3的诞生。 去年秋天,比利时安全研究员Mathy Vanhoef公布了有关KRACK的详细信息,这显然是一项巨大的打击,因为数十亿使用WPA2无线协议的设备中都存在这......

阅读(26)评论(0)

sitemap