Yaseng

感谢大家一直以来对《安全参考》的关注和支持，你们的关注和支持是我们最大的动力！一转眼又到了这个月的十五号，又是新一期《安全参考》发布的时候了，大家可能已经期待很久了吧

1
2

这一期的《安全参考》当然不会让你失望，本期的文章经过编辑团队在诸多稿件中优中选优，囊括了七个类别的优秀文章，精彩连连，一定会让你看了又看，惊叹于笔者诡异的思维，独特的思考方式，让你体会到，在不同的角度可以看到不同的美丽风景！
大家赶快下载吧，一览文中的精彩

遇到个奇葩的lfi 没上传 找不到日志 收集了个lfi字典 用burp 可爆破之

本期杂志在线预览及下载地址
http://pan.baidu.com/share/link?shareid=4248556473&uk=1832384802

往期杂志推荐
总第1期：http://pan.baidu.com/share/link?shareid=193985&uk=2500659462
总第2期：http://pan.baidu.com/share/link?shareid=265218&uk=3962849659
总第3期：http://pan.baidu.com/share/link?shareid=420277&uk=3962849659
总第4期：http://pan.baidu.com/share/link?shareid=496289&uk=3962849659
总第5期：http://pan.baidu.com/share/link?shareid=547198&uk=3962849659

前言

uaucms 后台采用bootstrap 构架 ,web 2.0 肯定少不了 ajax tab ,但是现有的 bootstrap tab 有两个缺点,一是不支持ajax,二是不能通过url直接定位某个页面。

最近在lamp下面开发php extension 需要经常重启apache 神马的 /etc/init.d/apache2 restart ,比较麻烦…..就写了个简单的工具
集合了一些常用的工具,命令… 为了更加非主流点 加了个随机每个字符串随机颜色(-_-） 其他以后有需要再往里面加吧
代码:

平台基于xsser.me for sae http://xsserme.sinaapp.com/download.php

模块编写

额 某天为了个资源挖了个xss 到手之后然后二逼的告诉了管理员 今天又需卷土重来
各种过滤,各种悲剧,撸了一天 总算中出鸟 发个文章记录下 ……

一 :fuzz 编辑规则

经过长时间的 fuzz之后 得到以下规则

1: script document alert … 会 替换为 *
2: img 的 onerror 事件没有过滤
3: 所有的字符都会替换为 小写 比如 String.fromCharCode 就彻底没戏了
4:加载了jquery 库

团队成员发来一个投票的地址,需要撸某某网站的一个某某投票,果断看了下,ip限制了,看到post 数据包

安全参考

安全参考杂志是国内知名的web安全杂志，杂志内容丰富，汇集了包括渗透测试、XSS跨站、无线终端、权限提升、社会工程以及SQL注入等多方面的优秀文章，杂志目前与国内多个Web安全研究论坛达成合作关系，比如法克论坛，习科论坛等，并有N多大牛参与编写，是渗透测试人员必看的杂志之一，为了大家学习方便，以后本站也将同步转发该杂志。

名称：《安全参考》，英文名HackCto。

定位：信息安全整合型月刊

运营方式：

1、编辑部负责杂志制作、宣传、推广

2、杂志稿件从合作团队、组织、媒体的内部已发表文章中选取

前言

刷微博的时候看到到seay发个了霸气外泄的cms,官方介绍
Xiuno 这个名字来源于圣斗士星矢白羊座的黄金圣斗士修罗，他的攻击速度和战斗力是十二宫最强的，他是速度和力量的化身；在佛教里面，修罗为六道之一，处于人道和天道之间的一道，半人半神，性情刚烈，好战斗。我们取其寓意，希望XIUNO变得越来越强，越来越快。在 Xiuno BBS 的第一行代码开始（一共大约有4W多行代码，历时多年积累）对性能的追求就到了苛刻，完美，歇斯底里，神经质，作者本人经常因为权衡一个方案而陷入冥想状态，在千万级数据下，最终的程序执行速度基本控制在0.00x秒，是作者本人比较满意的。