米斯特白帽培训讲义 实战篇 捷达系统 概述 文件上传 目录遍历 文件下载 米斯特白帽培训讲义 实战篇 捷达系统 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 概述 官网：http://www.jeedaa.com/ 主要产品有： 捷达ERP 捷达OA 捷达eHR 捷达CRM 捷达eFax...

米斯特白帽培训讲义 漏洞篇 逻辑漏洞 任意密码找回 任意手机号注册 任意邮箱激活 米斯特白帽培训讲义 漏洞篇 逻辑漏洞 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 任意密码找回 这是补天平台上的一个案例： http://www.118114.cn/reg.jsp 首先注册一个账号，然后找回。...

米斯特白帽培训讲义 漏洞篇 第三方风险 域名商 IDC 外源 JS 总结 米斯特白帽培训讲义 漏洞篇 第三方风险 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 域名商 域名商就是提供域名购买的站点。我们可以通过站长工具的 WHOIS 查询 来查询域名商，比如这里我们查询www.hi-ourlife...

米斯特白帽培训讲义 漏洞篇 代码执行 原理 实例代码 利用 附录 米斯特白帽培训讲义 漏洞篇 代码执行 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 原理 由于开发人员编写源码时，没有针对代码中可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句，并交由服务端执行。命令注入攻击中，Web 服...

前言 前言 根据 DCCI2010 年中国互联网站长生存与发展状况调查的数据显示，中国互联网站长月收入在 500 元以下以及无收入的比例超过 50%，主要盈利模式仍以广告为主，大多数的互联网创业者面对着巨大的生存压力，发展状况令人担忧。如何更快更好的改变他们当前面临的困境，成为关系到互联网整个生态圈长足发展的重要议题。而针对互联网创业者，网站流量更是...

米斯特白帽培训讲义 工具篇 BruteXSS 介绍 安装 使用 米斯特白帽培训讲义 工具篇 BruteXSS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 介绍 BruteXSS 是一个非常强大和快速的跨站点脚本检测工具，可用于暴力注入参数。BruteXSS 从指定的词库加载多种有效载荷进行注入，并...

米斯特白帽培训讲义 漏洞篇 提权 基本 Dos 命令、常识 突破限制 端口转发 Windows Exp 提权 上帝之门 Linux Exp 提权 附录 米斯特白帽培训讲义 漏洞篇 提权 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 提权，顾名思义就是提高自己在服务器中的权限，就比如在 Wind...

米斯特白帽培训讲义 漏洞篇 越权 分类 信息遍历 隐藏式后台 Cookie 绕过 JS 绕过 米斯特白帽培训讲义 漏洞篇 越权 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 越权漏洞是 Web 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对...

米斯特白帽培训讲义 工具篇 AWVS 功能 下载和安装 基本使用 登录后的扫描 批量扫描 米斯特白帽培训讲义 工具篇 AWVS 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 功能 AWVS 即 Acunetix Web Vulnerability Scanner 是一个网站及服务器漏洞扫描软件。...

米斯特白帽培训讲义 漏洞篇 CSRF 利用 附录 米斯特白帽培训讲义 漏洞篇 CSRF 讲师：gh0stkey 整理：飞龙 协议：CC BY-NC-SA 4.0 CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSR...