[分享]1.9亿域名A记录(主域名:1.18亿,子域名7300万)
最近社区里很多人在搞大数据分析,之前也有整理过一些数据但是量不大。这次给大家分享来自dnscensus 2013的大量域名解析数据。首先@[insight-labs](http://zone.wooyun.org/user/insight-labs) 感谢A牛! ``` 总域名数量:191846073 主域:118212410 子域名:73633663 来源:dnscensus 2013 整理:a...
阅读全文elasticsearch scripting security issues
elasticsearch scripting: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/modules-scripting.html security issues: http://www.elasticsearch.org/community/security/ http://mp.weixin...
阅读全文[zone]mysql 语法绕过一些WAF
转:[mysql syntax bypass some WAF](http://zone.wooyun.org/content/18601) 一个小tips,twitter上看见的: 一句话: ```sql select{x table_name}from{x information_schema.tables} ``` 测试: ```sql mysql> select{x table_name}...
阅读全文[zone] JavaScript 获取客户端内网IP和外网IP(STUN)
FROM:http://zone.wooyun.org/content/18274 from:https://github.com/diafygi/webrtc-ips Firefox 跟 Chrome支持WebRTC可以向STUN服务器请求,返回内外网IP,不同于XMLHttpRequest请求,STUN请求开发者工具当中看不到网络请求的。 [测试链接](http://javaweb.org/t...
阅读全文[zone]MySQL 在 LIMIT 条件后注入
FROM:http://zone.wooyun.org/content/18220 from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ 此方法适用于MySQL 5.x中,在limit语句后面的注入 例如: ```sql SELECT field FROM table WHERE id > 0 ORDER BY id ...
阅读全文Oracle public权限用户通过Oracle索引提权
今天下午2点左右看到这个漏洞就立马测试了一下发现没成功(我测试的版本是12.1.0.1.0 和oracle 10g),google了一下找到了[INDEX to SYSDBA without SELECT](http://www.oracleforensics.com/wordpress/index.php/2014/03/27/index-to-sysdba-without-select/)。 ...
阅读全文java应用内存dump和分析工具
首先:# ps -ef |grep java 找到程序的PID,然后用jmap dump分析。 ```bash jmap -dump:format=b,file=test.bin 23160 ``` 压缩后下载到本地。 ```bash zip -r test.bin.zip test.bin ``` 本机解压后使用jat查看: ```bash [yz@yz:Downloads]$ jhat tes...
阅读全文子域名Top 3000
```bash mysql> select SUBSTR(domain,1,LOCATE('.',domain)-1) pre,count(*) c from sys_domain where parent_id > 0 group by pre order by c desc limit 0,3000; +----------------+---------+ | pre | c | +----...
阅读全文Struts2 Security Bulletins 备份
[S2-001](http://javaweb.org/Struts2/s2-001.html) [S2-002](http://javaweb.org/Struts2/s2-002.html) [S2-003](http://javaweb.org/Struts2/s2-003.html) [S2-004](http://javaweb.org/Struts2/s2-004.html) [S2-...
阅读全文Mongodb未授权访问
Mongodb默认不需要配置auth导致未授权访问问题令人堪忧。 前年的时候写了个Mongodb未授权扫描工具发现了一些企业Mongodb未授权访问问题(测试发现包括一些游戏厂商),但在数量上还不太严重。 近期Mongodb问题越演越烈,上周对10812个国内IP进行探测时候发现了接近4000个未授权访问IP。 [![1](https://www.yzmm.net/uploads/2014/12/...
阅读全文共 204 条记录