MiniTool Partition Wizard Server Edition 7.1 破解版

MiniTool Partition Wizard Server Edition 一个Windows下的分区恢复,删除分区恢复,磁盘分区恢复,NTFS分区恢复软件,由MT Solution公司出品。功能包括:调整分区,复制分区,复制磁盘,创建分区,删除分区,格式化分区,转换分区,搜索分区,隐藏分区,更改卷标,设置活动分区,分区恢复。

普通家庭版免费版Home Edition只支持Windows XP/Vista/7。本破解版为Server Edition,支持 Windows Server 2000/2003/2008/2008 R2 和家庭常用的2000/XP/Vista/Window[……]

Read more

草根版的公民人身物理安全指南之行路

世界越来越乱,偶然在网上看到的,我摘录整理了部分重要的,还是有点道理的,嘿嘿,也不能一天到晚地光学网络安全啊,自己的物理安全还是很重要的。万一哪天挂了全都白学了,嘿嘿嘿。

 

现在,开始讲述“行”的安全。大家都听好了。过了这村没有这店,希望看到的朋友都能捧一捧,让更多的朋友看见,当然不能顶,因为,我最熟悉的一个名词,是顶沟子,顶一下很不爽。现在开始说正经的。

第一,行路安全:
我的老前辈告诉我,经常走夜路,早晚遇到鬼,这个坛子上老少。左左、右右都是有文化的人,肯定不用我解释这句话,现在我想澄清的是,现在这世道,到处都是灯火通明,车比鬼多多了,所以,我改成,经常走夜[……]

Read more

绿盟科技安全研究院上半年安全威胁态势报告

绿盟科技安全研究院发布上半年安全威胁态势报告:报告从背景、目标、手段和来源四个角度对威胁态势进行了分析,并得出了一系列观点。内容主要包括: 漏洞的变化趋势;众矢之的—Web应用; 危险的DDoS攻击;隐藏在互联网中的威胁…

摘要:2012年已然过半,毁灭世界的洪水尚未到来,然而在安全行业,一道道巨浪却震撼异常。临近年中,如果说Flame被发现只是给世界带来Duqu之后的又一次震撼,那么华盛顿邮报的报道足以让人寒澈骨髓。攻击技术不再只是猎枪中的弹药,国家级的力量足以让它成为威力无比的炮弹。与之相比,黑客团体在声势上丝毫不落下风,奉行黑客行动主义的Anonymous堪比最火爆的电影明星,[……]

Read more

APPSCAN 8.0 破解版下载

IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

AppScan 8.0

AppScan的漏洞发掘能力还是比较强的,就是感觉比较庞大臃肿,AppScan的破解版本我在网上[……]

Read more

Magic Quotes禁用危机

PHP中的魔术引号相信很多人都不陌生了,之前被认为是防御SQL注入以及XSS的一个方法。但是PHP官方决定移除这一特性,理由是因为这一特性对于安全的提升帮助不大,并且十分影响PHP执行的效率,因此决定移除这一特性。

在PHP配置文件中,只要更改magic_quotes_gpc这一选项就可以开启这一特性。它的作用是转义输入输出中的单引号(‘),双引号(“)以及反斜杠(\)。除了magic_quotes_gpc这一选项之外,还有其他几个关于魔术引号的选项:

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie da[......]

Read more

TL-WR340G无线路由器拒绝服务漏洞

TL-WR340G是TP-Link出品的一款轻量级无线路由器,近日有国外黑客发现了这款路由器上的一个拒绝服务漏洞,只要发送一个简单的畸形包到路由器,便可使路由器停止工作,需要手动重启路由器才能恢复正常,算是比较严重的了

漏洞细节:

型号:TL-WR340G无线路由器
固件版本: 4.7.11  Build 101102 Rel.60376n
硬件版本:WR340G v3

触发漏洞的过程非常简单,需要用到网络软件Scapy,构造包的详情如下:

fr = RadioTap()/Dot11(addr1="ff:ff:ff:ff:ff:ff",addr2=&[......]

Read more

Javascript中XSS的过滤

对于XSS的过滤,在很多网站中都是说,要过滤双引号,要过滤掉尖括号,这样就安全了。难道真的过滤了双引号和尖括号就完全安全了?在导入到Javascript中的变量中,XSS是有非常多方法的,很多时候我们要根据具体的上下文来分析。而不是根据所谓的网上的一些通用方法来进行过滤,网上通用的方法在很多具体环境下都是漏洞百出的。

我们来看下面一个网上的例子:
http://xsst.sinaapp.com/example/test1-2-2.php?page=1

<style>
.code{border:1px solid #ccc;background:#ffff77;paddi[......]

Read more

PHPCMS V9最新注入漏洞,补丁已出

目前官方未对这个漏洞出补丁,找了个朋友的PHPCMS简单利用一下漏洞,出在文件api.php中,有一个功能是加入收藏,在传入的参数中,使用了urldecode来处理,导致使用%2527形成单引号绕过。官方已经紧急发布了补丁,这种做法还是很值得称赞的,响应非常迅速。这个漏洞的利用有很多种,而且爆出了密码也很难解开,因此这里提一下这个利用方法。

下面我们来看看漏洞是如何形成的:

$title = urldecode($title);

......

$data = array('title'=>$title, 'url'=>$u[......]

Read more

Netsparker Community Edition 2.3 发布

Netsparker是一个商业版的网络安全扫描器,商业版本是要用钱买的,但是Netsparker提供了另一个免费版本,Netsparker Community Edition,功能上比商业版略有部分缺失,这个免费版本专注于SQL注入漏洞以及XSS漏洞的扫描。

Netsparker在所有商业和开源扫描器的第三方评测中,在SQL注入漏洞扫描方面,综合排名第三,准确率为98.53%,算是非常不错的成绩了,仅次于Wpiti和arachni。

下载测试了一下,确实不错,不过有的扫出来的XSS漏洞还是比较鸡肋的,比如由于来自Referer的参数造成的XSS漏洞,确实很难利用得上的。[……]

Read more

除了BT5,还有Pentoo

现在圈子内都流行BT5热,开口闭口都是BT5,其实BT5也不过是个工具罢了,大家也不要炒作过头了。在今年的Defcon上,Pentoo团队发布了Pentoo的最新版本,Pentoo 2012。

Pentoo是一个基于Gentoo的面向渗透测试的应用程序和安全工具集合livecd自启动光盘,感觉上应该会比backtrack轻量级一些,有网友用美的不可思议的发行版来形容Pentoo,并且官方意思似乎就是想让它运行在U盘上的。Pentoo是一个完全自定义的工具,你也可以在Gentoo下面使用软件管理命令 layman -L和layman -a pentoo来获得整套的工具包.下面是Pe[……]

Read more