MatriXay是DBAPPSecurity公司在深入分析研究WEB-数据库构架应用系统中,典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具。
它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务,对WEB应用攻击说“不!”MatriXay于2006年8月的世界安全大会BlackHat和Def-Con上首次发布,被评价为“最佳的WEB安全评估工具”。
其主要功能为:深度扫描:以风险为导向,对指定的WEB进行遍历;
配置审计:透过检测出的弱点对数据库进行配置审计;
渗透测试:尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测分析,并实施无害攻击,取得系统安全威胁的真实证据。
MatriXay产品的主要特点:支持95%的主流数据库,包括:Oracle、DB2、Sybase、SQLServer、Access和MySQL;
支持自动扫描、被动扫描两种工作模式;
支持SSL:目前世界上唯一一款支持SSL的扫描工具;
方便易用:所有的扫描配置策略均对用户透明;
提供强大的渗透测试功能,通过渗透测试,可以直接看到应用弱点被攻击的后果,比如:获得系统权限、执行系统命令,篡改数据等等;
它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务,对WEB应用攻击说“不!”MatriXay于2006年8月的世界安全大会BlackHat和Def-Con上首次发布,被评价为“最佳的WEB安全评估工具”。
其主要功能为:深度扫描:以风险为导向,对指定的WEB进行遍历;
配置审计:透过检测出的弱点对数据库进行配置审计;
渗透测试:尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测分析,并实施无害攻击,取得系统安全威胁的真实证据。
MatriXay产品的主要特点:支持95%的主流数据库,包括:Oracle、DB2、Sybase、SQLServer、Access和MySQL;
支持自动扫描、被动扫描两种工作模式;
支持SSL:目前世界上唯一一款支持SSL的扫描工具;
方便易用:所有的扫描配置策略均对用户透明;
提供强大的渗透测试功能,通过渗透测试,可以直接看到应用弱点被攻击的后果,比如:获得系统权限、执行系统命令,篡改数据等等;
2024/1/22 1:17:22
849KB
1
arm64_rop_exploitarm64rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。
用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。
在运行Ubuntu18.04.4LTS(GNU/Linux4.15.0-1062-raspi2aarch64)的RaspberryPi上测试了arm64代码。
执照有关详细信息,请参阅文件。
rop.py关于该项目将研究漏洞的利用以及面向收益的编程的使用。
这将建立在注入外壳程序代码以进行开发的基础上。
该项目的创举来自以下博客:但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。
因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。
在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。
在运行Ubuntu18.04.4LTS(GNU/Linux4.15.0-1062-raspi2aarch64)的RaspberryPi上测试了arm64代码。
执照有关详细信息,请参阅文件。
rop.py关于该项目将研究漏洞的利用以及面向收益的编程的使用。
这将建立在注入外壳程序代码以进行开发的基础上。
该项目的创举来自以下博客:但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。
因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。
在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
2023/12/24 12:53:47
16KB
1
此操作指导旨在通过一套标准化的可重复使用的快速测试方法,提供一套经过整合和简化的测试用例,供Web安全测试人员快速发现漏洞。
2023/12/22 17:04:54
704KB
1
虽然均值哈希更简单且更快速,但是在比较上更死板、僵硬。
它可能产生错误的漏洞,如果有一个伽马校正或颜色直方图被用于到图像。
这是因为颜色沿着一个非线性标尺-改变其中“平均值”的位置,并因此改变哪些高于/低于平均值的比特数。
一个更健壮的算法叫pHash,(我使用的是自己改进后的算法,但概念是一样的)pHash的做法是将均值的方法发挥到极致。
使用离散余弦变换(DCT)降低频率。
它可能产生错误的漏洞,如果有一个伽马校正或颜色直方图被用于到图像。
这是因为颜色沿着一个非线性标尺-改变其中“平均值”的位置,并因此改变哪些高于/低于平均值的比特数。
一个更健壮的算法叫pHash,(我使用的是自己改进后的算法,但概念是一样的)pHash的做法是将均值的方法发挥到极致。
使用离散余弦变换(DCT)降低频率。
2023/12/22 0:38:36
8KB
1
工作易人才招聘系统是面向中小企业和个人站长建站时,最具性价比的一套人才招聘系统。
以《实用、稳定、快捷管理、价格低廉》为占据市场的一席之地。
采用微软的.Net最新技术开发,完全不用担心系统漏洞和崩溃。
以《实用、稳定、快捷管理、价格低廉》为占据市场的一席之地。
采用微软的.Net最新技术开发,完全不用担心系统漏洞和崩溃。
2023/12/19 23:58:41
4.11MB
1
使用注意:1.WebLogic反弹需要等5秒左右2.该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。
本工具与网上已公布工具优点:1.综合实现网上公布的代码执行、反弹2.jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell3.反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。
4.jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测5.体积更小,不再依赖java环境,但程序采用.net编写,需要.net4.0环境待完成:weblogic回显结果测试中,稍后加入
本工具与网上已公布工具优点:1.综合实现网上公布的代码执行、反弹2.jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell3.反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。
4.jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测5.体积更小,不再依赖java环境,但程序采用.net编写,需要.net4.0环境待完成:weblogic回显结果测试中,稍后加入
2023/12/8 21:11:17
31KB
1
phpcmsv9.6.0版本注册处存在一个前台getshell的漏洞,特地保留这个版本,分享给大家学习使用。
phpcms是一个比较流行的cms.
phpcms是一个比较流行的cms.
2023/11/28 2:33:31
8.32MB
1
ApacheShiro是一个应用广泛的权限管理的用户认证与授权框架。
近日,shiro被爆出ApacheShiro身份验证绕过漏洞(CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。
实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份校验绕过漏洞。
2020年8月17日,ApacheShiro发布1.6.0版本修复该漏洞绕过。
阿里云应急响应中心提醒ApacheShiro用户尽快采取安全措施阻止漏洞攻击。
近日,shiro被爆出ApacheShiro身份验证绕过漏洞(CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。
实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份校验绕过漏洞。
2020年8月17日,ApacheShiro发布1.6.0版本修复该漏洞绕过。
阿里云应急响应中心提醒ApacheShiro用户尽快采取安全措施阻止漏洞攻击。
2023/11/26 8:29:31
347KB
1
cndcom.exe和scanms.exe两个工具的用处自己百度,刚刚从朋友手上弄来的。
网上有点难找。
网上有点难找。
2023/11/25 8:37:54
467KB
1
在日常工作中,钉钉打卡成了我生活中不可或缺的一部分。然而,有时候这个看似简单的任务却给我带来了不少烦恼。
每天早晚,我总是得牢记打开钉钉应用,点击"工作台",再找到"考勤打卡"进行签到。有时候因为工作忙碌,会忘记打卡,导致考勤异常,影响当月的工作评价。而且,由于我使用的是苹果手机,有时候系统更新后,钉钉的某些功能会出现异常,使得打卡变得更加麻烦。
另外,我的家人使用的是安卓手机,他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说,每次打卡都是一次挑战。他们总是担心自己会操作失误,导致打卡失败。
为了解决这些烦恼,我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习,我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。
2024-04-09 15:03
15KB