-
本文通过介绍在python开发中经常出现的常规web漏洞,然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞,并且展示自动化系统在…
-
Matthew在这里分享一些平时看到的审计小技巧以下都是平时自己看文章记录下来的知识点,欢迎交流。(1)出现了SSTI漏洞,在tp框架的情况下,渲染的文件始路径必须是以ThinkPHP的入口文件(in…
-
前言 最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。…
-
介绍:在Access数据库类型注入的时候,我们获取不到列名(前提是有表名),一般会选择使用偏移注入,但是这种注入方式往往借助的是个人的人品,且步骤繁琐。本文中我们研究了一种新的注入技术让“偏移注入不再…
-
1,爆破一 限制了只允许数字字母下划线 利用超全局变量 $GLOBALS 获得FLAG 2,爆破二 很明显的代码注入 获得FLAG 3,爆破三 SESSION nums需要>=10…
-
0x00 前言 本文的主要目的是分享在服务器遭受文件包含漏洞时,使用各种技术对Web服务器进行攻击的想法。 我们都知道LFI漏洞允许用户通过在URL中包括一个文件。在本文中,我使用了bWAPP和DVW…
-
先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。 先知技术社区投稿邮箱:Aliyun_xianzhi#service.alibaba.com; Author:Tr3j…
-
【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941
Node.js爆出反序列化远程代码执行漏洞,该漏洞详情如下:1、综述Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Jav…
-
本文由armyzer0团队原创投稿安全脉搏,安全脉搏独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 漏洞存在文件phpcms\modules\dbsource\call.php的g…
-
XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋…
-
安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞,PHP代码审计大家比较熟悉了,Java代码如何进行安全审计呢…
-
注:本文为“小米安全中心”原创,作者: 我不知道该唱什么,转载请联系“小米安全中心” 上期回顾:技术分享|利用恶意软件检测服务向服务提供商植入恶意软件(一) 之前说到了利用本地dns做中转传输数据的通…
-
0x00 介绍 眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。 为什么我们需要一款代码审计系统? 公司越来越大,开发人员也越来越多。每个研发人员…
-
php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个…
-
注:本文为“小米安全中心”原创,作者: 我不知道该唱什么 这个恶意软件检测服务的关注点主要在web脚本后门,即webshell上。服务的具体形态是:上传脚本文件(支持压缩包),然后服务在后台对上传的文…
2018-05-05
2018-03-30
2018-03-28
2018-03-22
2018-03-17
2018-01-30
2018-01-19
2018-01-13
2018-01-12
2018-01-09
2017-12-21
2017-12-14
2017-11-28
2017-11-25
2017-11-18
关注我们
