Webshell一直都是网站管理员痛恨看到的东西，一旦在网站目录里看到了陌生的webshell基本说明网站已经被攻击者拿下了。站在攻击者的角度，要想渗透一台网站服务器，第一个目标也是想方设法的寻找漏洞上传webshell。 对于webshell的防护通常基于两点：一是在攻击者上传和访问时通过特征匹配...

利用现有的搜索引擎API以及GoogleHacking技术 , 批量进行关键字查询和注入点检测分为三步 :URL采集对采集到的不可能的URL进行过滤 , 例如静态的页面等注入点检测参考资料 :Google HackingBing Web Search API实现 :URL采集 :利用Bing提供的免...

前言大家应该都知道现在web漏洞之首莫过于sql了，不管使用哪种语言进行web后端开发，只要使用了关系型数据库，可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢，又是怎么去解决这个问题的?当然，我这里并不想讨论其他语言是如何避免sql注入的，网上关于PH...

研究人员最近发现，Java和Python运行时都存在漏洞，它们未能正确验证FTP URL中的特殊字符，最终导致黑客甚至能够绕过防火墙访问本地网络。上周六，安全研究员Alexander Klink公布了一种很有趣的攻击方式，他利用Java应用中的XXE(XML External Entity)漏洞发送...