在黑防给大家介绍Ajax Hacking技术也有几期了,但是还没有实践过。这次给大家带来的就是一次实战的分析问题和解决问题的过程,而且是一个通用的打造“XSS Trojan”的全过程。由于也是藏在后台获取和发送用户信息,和木马极为相似,所以文章的名字才叫XSS Trojan,和网页木马是两码事哦。本来是准备给大家介绍怎样做XSS Worm的,可是因为起稿时是以Sohu博客做实战的,在数据提交时出现了问题;所以这里仅会简单介绍一下它的思路,而在此之上我们会一起去做这个记录用户名密码的“木马脚本”(某些网站甚至可以不用脚本哦!)。
最近迷恋上了灰鸽子,服务器搞过不少了,就是很少捣鼓个人电脑,于是花了一天时间配置了个免杀的鸽子来玩玩。可惜我的机器是校园网代理出去的,没有公网IP啊,没办法,弄台服务器用用吧!
最近无聊在网上瞎转,碰到一个网站——仙桃之窗http://www.awxt.com/php/index.php,现在养成了一个毛病,看到网站就想给它来一次“全面体检”,于是就有了今天的检测之旅。该网站采用的是PHP脚本语言,因为对PHP不是太熟,而且在页面看了半天也没找到版权信息,所以也就没有看出是采用什么网站管理系统的,于是决定还是先找后台。一般情况下,大部分网站找到后台后都能看出是采用何种网站管理系统的。按常规先尝试最常见的后台,如admin、manage等,直接将index.php换成admin后确认,页面提示“请先登录”,然后自动转跳到登录页面。
最近在我们校园网里,尤其是教室的电脑上面,U盘病毒横行。杀毒软件用的是趋势,加上又没有更新,老师和同学饱受病毒之苦,于是便想到要自己动手写一写专杀工具,为人民服务。
最近机房中了一种弹出网页式的流氓软件ttdianying,毛病倒是不大,只是很讨人厌,每隔几分种就会弹出一次,游戏也玩不安心,
用杀毒软件、360安全卫士、超级兔子都查不出个所以然来,上Google搜索也是哀声一片,并无清除方法,于是只能自己动手解决了。
一年多前曾看到一个国外网站,一共有10个页面,页面的PR值分别从1到10,当时曾惊为天人,有此深厚功力……
不久前才知什么叫难者不会,会者不难,不过是利用了常用的301和302转向而已。今天我们就来讨论一下如何进行Google PR劫持。这就像一把双刃剑,在正常SEO的人群手里,可以知道如何来识别Google PR劫持;而对于真正想作弊的人来说,不在这里也肯定能找到其他作弊的方法。和网络安全一样,如果没有人研究溢出、注入等各种安全问题,那么网络就是安全的吗?好了,不说废话了,切入正题。
一个Web木马样本获取的简单流程
上午公司服务器也被挂马了,分析了下,顺便将步骤写出来了!共享之,没什么技术含量了,高手可以跳过了!