浅谈SVG的两个黑魔法

前言之前在CTF比赛中遇到了一些关于SVG造成的安全问题，多亏诸多师傅的题目给我的一顿痛打让我又了解了不少新的知识和SVG在WEB安全中的应用，拓展了我的攻击面。本文涉及靶场知识点——XXE漏洞分析与…

 蚁景科技 2020-11-26 14:44:15

5,299 0 3

CVE-2020-2555：Weblogic Cohence反序列化RCE分析利用

在对Java Web应用程序进行研究时，不安全的反序列化漏洞已经成为了攻击者或研究人员的常见目标了。这些漏洞将导致他人在目标设备上可靠地实现远程代码执行，而且这类漏洞通常很难修复。2020年3月6日W…

 i春秋聚集地 2020-09-03 10:17:01

4,584 0 0

性感“注入”，在线“发牌”

这是 酒仙桥六号部队 的第 21 篇文章。全文共计2037个字，预计阅读时长7分钟。前言周末的清晨，我在模模糊糊的睡梦中被电话惊醒，发现好多未接视频，连忙的看了…

 酒仙桥六号部队 2020-08-25 11:11:11

4,569 0 1

细说渗透江湖之出荆棘入深林

这是 酒仙桥六号部队 的第 4 篇文章。全文共计4133个字，预计阅读时长12分钟。前言大家好，我是一名正义的使者，常常在黑夜来临的时候，徜徉在网络的海洋中，突破层层防御…

 酒仙桥六号部队 2020-06-19 17:16:26

11,804 1 4

SSTI Bypass 分析

护网杯过去不久，realworld到来之前先来研究研究SSTI的Bypass套路。SSTI Bypass首先来看一个护网杯的那道easypy，后台在输入{{config}}的时候出现回显，因…

 ChaMd5安全团队 2019-10-12 13:55:44

5,526 0 2

thinkphp 5.x漏洞分析

根据网上发布关于thinkphp 5.x远程代码执行漏洞预警，分析漏洞发生点，对比官方git更新版本，对照发现更新为request类，如下图所示：观察发生更改的点为pathinfo()、method(…

 二胖 2019-01-18 14:30:13

5,263 0 3

代码审计Day4 — strpos使用不当引发漏洞

本文转载自先知社区：https://xz.aliyun.com/t/2467 本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组…

 红日安全团队 2018-08-17 9:55:20

8,790 0 1