监控、定位JavaScript操作cookie

# 监控、定位JavaScript操作cookie## 一、脚本说明### 为什么会有这个东西？数据无价的时代，爬虫与反爬的对抗已经进入白热化状态，其中Cookie反爬是`最常见之一`的反爬类型， 网…

 CC11001100 2023-08-04 11:11:00

38,600 0 4

.NET高级代码审计（第八课）SoapFormatter反序列化漏洞

0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类，SoapFormatter直接派生自System.Object…

 Ivan1ee 2019-04-15 14:17:48

11,222 0 14

Drupal Core RESTful RCE (CVE-2019-6340)

近日，Drupal官方更新了一个非常关键的安全补丁，修复了因为接受的反序列化数据过滤不够严格，在开启RESTful Web Services拓展模块的情况下，可能导致PHP代码执行的严重安全。漏洞条件…

 Rai4over 2019-02-28 11:13:03

17,900 0 10

WIKI | 未授权访问的tips

前言知识那么多,大佬们学慢点,我营养跟不上啦! 前人栽树后人乘凉,本文主要是把一些资料依葫芦画瓢学习了下,做了个汇总.0x00 小二上酒https://github.com/se55i0n/DBSca…

 HACK_Learn 2019-02-21 15:23:49

19,918 1 4

Thinkphp5.1 ~ 5.2 全版本代码执行漏洞代码审计

0x01 简介ThinkPHP是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架，遵循 Apache2 开源协议发布，一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，…

 Topsec-SRC 2019-01-29 14:30:31

23,214 0 15

35C3 CTF Filemanager Wrtieup

Check out my web-based filemanager running at https://filemanager.appspot.com.The admin is usin…

 Rai4over 2019-01-09 17:11:56

11,999 0 13

从php反序列化到phar文件

在系统、程序运行的过程中，内存中的变量数据随着运行的结束，自动销毁，而想保存内存中的数据，就应运而生了一种序列化与反序列化的技术，用来将内存中的数据保存到文件中。在php中利用serialize函数，…

 二胖 2019-01-04 14:30:16

16,052 1 15

[红日安全]代码审计Day16 — 深入理解$_REQUESTS数组

本文由红日安全成员： 七月火编写，如有不当，还望斧正。本文转载自先知社区：https://xz.aliyun.com/t/3102 前言大家好，我们是红日安全-代码审计小组。最近我们小组正在…

 红日安全团队 2018-12-24 14:29:07

9,980 0 14

Thinkphp漏洞跟踪

漏洞分析环境：https://github.com/vulnspy/thinkphp-5.1.29与phpstudy php-7.0.12-nts+apacheThinkphp框架中url的…

 二胖 2018-12-18 17:00:22

10,312 0 19

安全小课堂第122期【DOM-XSS漏洞挖掘】

XSS(Cross-site scripting)是一种常见的web漏洞，按XSS payload位置的不同，分为反射型、存储型和DOM型XSS。攻击者可以通过让受害者访问构造好的恶意链接，实现劫持、…

 京东SRC 2018-12-11 17:19:04

12,168 1 12

[红日安全]代码审计Day14 — 从变量覆盖到getshell

本文由红日安全成员： 七月火编写，如有不当，还望斧正。本文转载自先知社区：https://xz.aliyun.com/u/10394前言大家好，我们是红日安全-代码审计小组。最近我们小组正在…

 红日安全团队 2018-12-10 17:53:08

9,813 1 13

CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警（CNVD-C-2018-127157/CVE-2018-19127）

摘要：11月4日，阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击，攻击者可以利用该漏洞远程植入webshell，导致文件篡改、数据泄漏、服务器被…

 阿里云安全 2018-11-30 14:20:32

10,980 0 167

Python反序列漏洞分析

什么是序列化？程序运行的过程中，变量都是在内存中的，当程序一旦执行完毕结束退出后，变量占有的内存就被释放。如果将内存中的变量持久化存储到磁盘中，这个过程就成为序列化；下次运行的时候从磁盘中读取变量到内…

 Rai4over 2018-11-23 16:30:04

9,768 1 5

[红日安全]代码审计Day13 — 特定场合下addslashes函数的绕过

本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。本文转载自先知社区：https://xz.aliyun.com/t/2864 前言大家好，我们是红日安全-代码审计小组…

 红日安全团队 2018-11-13 17:05:59

7,857 0 7

RichFaces反序列化漏洞

jsf介绍JavaServer Faces（JSF）是一个为网络应用程序构建基于组件的用户界面的Java规范[1]，并已通过JCP格式化为Java EE的一部分。它也是一个MVC Web应用框架，通过…

 0c0c0f 2018-09-25 15:44:35

12,844 0 11