2021-06-11 阅读(239)

这个程序的功用是通过接口访间ElastieSearch中的Nginx日志,然后取得每一条日志中的URL这个日志字段,将URL作为参数调用执行liblnjection的XSS注入分析。当ret变量的结果是1,这代表当前URL是XS...

2021-06-11 阅读(643)

为了便于大家掌握关键内容,这里只展示了一部分代码,如果大家需要了解liblnjection的全部代码,可以到GitHub中获取。接下来我们编译生成库文件,这里需要编写一个简单的Makefile将liblnject...

2021-06-11 阅读(921)

收集Web服务的日志有很多种方式,用于采集信息的软件也很多,下面介绍NxLog日志采集工具。NxLog可以通过对软件的配置,采集本地日志文件内容并发送给Syslog监听服务接收。通过这种方式...

2021-06-11 阅读(294)

Nginx和OpenResty的日志文件内容格式的输出设定、日志文件的类型、日志文件的存储位置是通过.conf配置文件来设置的,下面给出了配置文件的实例: http include mime.types; default_type application/...

2021-06-11 阅读(600)

首先介绍日志采集的关键软件,Web日志取证的关键数据处理是依靠这些软件完成的。在这个系统的构建过程中,我们将会使用到NxLog、CatKafka、Graylog、Zookeeper等。Nginx、OpenResty的日志收集方...

2021-06-11 阅读(328)

在正常情况下,世界各地的用户都可以访问到网站服务器。此时的网站服务器并非是直接暴露在外网上的,用户的请求在到达网站服务器之前,要经过WAF等防护设备的检查。除了网站服务之...

2021-04-16 阅读(973)

在一个项目中，我提前拿到了网站的源代码，队里的师傅白盒审出了一个曲折的利用链，现在我再次重现并记录了这个链的挖掘过程。这条链牵涉到经典漏洞，包含:session伪造、任何文...

2021-04-11 阅读(212)

学习代码审计要熟悉三种语言，总共分四部分去学习。第一，编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。jquery主要写一些涉及CSRF脚本或DOMXSS、JSON劫持等。2.后端...

2018-04-11 阅读(1532)

bluecms 是一款应用于地方分类信息的门户系统，开发语言架构是php +mysql架构， 每个页面可以单独的进行关键词的优化，含有许多模板以及智能缓存 技术，在discuz论坛等 程序上可以完美...

2013-02-14 阅读(465)

详细的利用方法，用火狐tamper data插件……..即可改post内容….. 先注册账户，随便选个商品进购物车，然后填地址，电话什么的，填好开始抓包，改包就会回显错误页面了。。。。 我自己没用...