有意为之？WannaCry变种可传播加密

背景概述WannaCry最早出现于2017年，由于利用了“永恒之蓝”漏洞进行传播，造成了全球大量主机被勒索，对网络安全造成了非常大的威胁。病毒在运行后首先会尝试访问域名”www[.]iuqerfsod…

 Further_eye 18分钟前

3,597 0 0

数组声明为public final static漏洞缺陷

一、什么是数组声明为public final static缺陷?程序声明一个public final static的数组，这不足以防止修改数组的内容。二、数组声明为public final stati…

 中科天齐软件安全 1天前

3,041 0 0

实战｜页面篡改安全事件应急流程

文章首发于奇安信攻防社区地址：https://forum.butian.net/share/902一、认识网页篡改了解网页篡改类型 网页篡改指的是黑客通过技术手段上传了webshell（网页木马）拿到…

 HACK_Learn 1天前

2,533 0 0

通过某大学生的的毕业设计复习java-sql审计

  sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入本人正在拜读一本代码审计的书感觉非常的棒，刚刚好室友在挑战…

 合天网安实验室 1天前

2,872 0 0

数字类型的不正确转换漏洞

一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时，会忽略部分数据，造成精度损失，甚至产生不可预期的数值。如果在敏感的上下文中使用结果值，则可能会发生危险…

 中科天齐软件安全 2天前

3,411 0 0

对XML外部实体引用的不当限制漏洞

一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体，这些URI可以解析为超出预期控制范围的文档，从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择包…

 中科天齐软件安全 2天前

5,727 0 0

一篇文章弄懂暴力拆解safe-unlink

前言今天（2021.11.28）NCTF的题目让我大开眼界，上来最低利用版本都是2.31，新生都如此生猛了吗，由于我比较菜只搞定了这个ezheap，2.33版本的题目我也是第一次做，花了1个小时fuz…

 合天网安实验室 2天前

3,668 0 0

HTTP响应拆分漏洞

一、什么是HTTP响应拆分?HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤，如果用户输入的值中注入了CRLF字符，有可能改变HTTP报头结构。HTTP响应拆分漏洞，也叫CRLF注入攻击。…

 中科天齐软件安全 7天前

6,219 0 0

从finally块中return漏洞

一、什么是从finally块中return?Java中的finally一般与try一起使用，在程序进入try块之后，无论程序是因为异常而中止或其它方式返回终止的，finally块的内容一定会被执行。代…

 中科天齐软件安全 8天前

4,439 0 0

记一次与nb黑客的battle–记录一次应急响应

综述前言: 成就你的不只你的朋友, 还有你的敌人网安小菜鸡, 在一次应急响应中, 向对手讨教了不少知识 利用关键点: rsync命令, 远程下载恶意文件, 不被阿某云所报警 黑客-…

 Morick.Wáng 9天前

6,591 0 0

资源未关闭/释放漏洞

一、什么是资源未关闭/释放?在使用临时或配套资源后，软件没有正确“清理”和删除这些资源。二、资源未关闭/释放漏洞构成条件有哪些?满足以下条件，就构成了一个该类型的安全漏洞：1、软件在使用后没有正确“清…

 中科天齐软件安全 9天前

3,984 0 0

记两岸同胞的逻辑碰撞

前言： 第一次挖这家src，看src自己给出的资产(赞一个)，打开网站是一个电子商务C2C业务，大致扫了一眼业务，网站功能挺多的，出了不少货，挖的过程中，导致一些诡异的逻辑被触发了，在此仅对系统业务逻…

 火线安全平台 9天前

5,742 0 0

网络安全—如何从IP源地址角度，预防DDoS攻击？

从1966年分布式拒绝服务（DDoS）攻击诞生至今，便一直困扰着网络安全，尤其是随着新技术的不断催生，导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一，使许多企业与国家…

 埃文科技 10天前

7,259 0 0

CS服务器隐匿自身操作

很多工具都带有自己的特征，像sqlmap、awvs等扫描器，一旦开扫就很容易被waf ban掉。内网的设备也捕获了一些工具的流量特征，像CobaltStrike本来是钓鱼的，结果因为没有隐匿自身特征反…

 火线安全平台 14天前

4,644 0 0

CTF高质量PWN题之二叉树的漏洞利用

分享一道CTF线下比赛中由c++编写的一道高质量赛题。附件领取：链接: https://pan.baidu.com/s/1k3Wmf64yqRPW517rQKT_Wg 密码: qpwb初步分析程序运行…

 合天网安实验室 14天前

4,742 0 0