请选择
进入手机版
|
继续访问电脑版
首页
Portal
资讯
安全
独家
专栏
黑客圈
漏洞库
社区
BBS
博客
登录 /
注册
帐号
自动登录
找回密码
密码
登录
立即注册
只需一步,快速开始
搜索
搜索
用户
用户
HackerNews
行业热点
安全法规
企业安全
网络安全
终端安全
区块链安全
数据库安全
Web安全
无线安全
工控安全
移动安全
系统安全
安全工具
安全报告
人物
观点
招聘
排行
导读
专家
好友
勋章
任务
道具
收藏
好友
帖子
收藏
道具
勋章
任务
留言板
导读
排行榜
设置
我的收藏
退出
腾讯QQ
微信登录
Web安全
ANSWER AND QUESTION
精选
Nodejs中模板引擎渲染原理与潜在隐患探讨
无恒实验室
2021-1-21 17:37
一、背景此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的? ...
Web安全
共
4869
人围观
精选
【漏洞通告】Apache Struts远程代码执行漏洞
指尖安全-小胖
2020-12-8 20:20
2020年12月08日,Apache Struts 官方发布安全公告,披露 S2-061 Struts 远程代码执行漏洞。 漏洞描述Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Str ...
Web安全
共
11185
人围观
精选
【漏洞通告】宝塔出现严重漏洞,宝塔用户请紧急更新!
指尖安全-小胖
2020-8-23 19:17
漏洞描述宝塔面板出现严重数据库漏洞,官方发布紧急安全更新。公告要求所有用户升级到最新版本,但未说明安全事件的任何信息。据了解,此次更新是为了修复phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重Bug ...
Web安全
共
50433
人围观
精选
F5 BIG-IP hsqldb漏洞踩坑分析
知道创宇
2020-7-16 14:21
F5 BIG-IP hsqldb(CVE-2020-5902)漏洞踩坑分析 作者:
[email protected]
:2020年7月10日English Version: https://paper.seebug.org/1272/原文链接:https://paper.seebug.org/1271/ F5 BIG-IP最近发生 ...
Web安全
共
38331
人围观
精选
从反序列化到类型混淆漏洞——记一次 ecshop 实例利用
知道创宇
2020-7-9 11:01
作者:
[email protected]
:2020年3月31日English Version: https://paper.seebug.org/1268原文链接:https://paper.seebug.org/1267/ 本文初完成于2020年3月31日,由于涉及到0day利用,所以于2020年3 ...
Web安全
共
43885
人围观
精选
发卡平台的渗透测试
AttackCTF
2020-7-2 17:45
0x0 事前缘由 无聊中。。。。。发现一个比较有意思的平台,话不多说,直接开撸。 0x1 正常开头 先从某度搜索类似这种网站,访问某发卡平台正常,界面如下:然后使用目录扫描工具,发现仅存的几个目录。结果如下:访 ...
Web安全
共
55744
人围观
精选
Tomcat基于Servlet的无文件webshell的相关技术研究
指尖安全-小胖
2020-6-29 20:21
转:宽字节安全前几篇文章主要介绍了在tomcat,weblogic下如何通过动态注册一个Filter的方式,去实现无文件落地的webshell。当然在J2EE中,我们也可以动态注册一个Servlet去实现无文件落地的webshell。 以下分析基于 ...
Web安全
共
49574
人围观
精选
tomcat结合shiro无文件webshell的技术研究以及检测方法
指尖安全-小胖
2020-6-9 20:22
转:宽字节安全 0x01简介shiro结合tomcat回显,使用公开的方法,回显大多都会报错。因为生成的payload过大,而tomcat在默认情况下,接收的最大http头部大小为8192。如果超过这个大小,则tomcat会返回400错误。而某些 ...
Web安全
共
80980
人围观
精选
【漏洞通告】Fastjson全版本远程代码执行
指尖安全-小胖
2020-5-28 21:35
漏洞描述近日,补天漏洞响应平台通过某安全渠道了解到,Fastjson将在下个版本(1.2.69)修复一个重大的漏洞,小于1.2.69版本的Fastjson存在远程代码执行漏洞,可导致直接获取服务器权限。该漏洞利用门槛低,风险影响 ...
Web安全
共
63925
人围观
精选
空指针- 最新版DZ3.4实战渗透
知道创宇
2020-5-13 10:38
作者:
[email protected]
:2020年5月11日原文地址:https://paper.seebug.org/1197/ 周末看了一下这次空指针的第三次Web公开赛,稍微研究了下发现这是一份最新版DZ3.4几乎默认配置的环境,我们需要在 ...
Web安全
共
65410
人围观
精选
Apache CommonCollection Gadget几种特殊的玩法
指尖安全-小胖
2020-5-11 20:31
作者:宽字节安全0x01 简介众所周知,CommonCollection Gadget主要是由ConstantTransformer,InvokerTransformer,ChainedTransformer构成。gadget主要通过Transformer接口的transform方法,对输入的对象做变换。Con ...
Web安全
共
57337
人围观
精选
CVE-2020-1938 幽灵猫漏洞RCE
怀特怀特
2020-2-21 19:14
存在此漏洞Tomcat版本: 7.*分支7.0.100之前版本 8.*分支8.5.51之前版本 9.*分支9.0.31之前版本 漏洞原理见这里,此处只表RCE方式。 msf生成反弹马,监听首先使用msf生成反弹shell马,为方便上传之用直接生成为.png后 ...
Web安全
共
201690
人围观
精选
Apache Tomcat文件包含漏洞通告(附poc)
指尖安全
2020-2-21 15:56
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webap ...
Web安全
共
145371
人围观
精选
代码分析引擎 CodeQL 初体验
知道创宇
2019-11-19 15:56
作者:
[email protected]
:2019年11月18日原文链接:https://paper.seebug.org/1078/ QL是一种查询语言,支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。之前笔者有简单
Web安全
共
117509
人围观
精选
PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
知道创宇
2019-10-28 13:53
作者:LoRexxar'@知道创宇404实验室时间:2019年10月25日原文链接:https://paper.seebug.org/1063/国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。20
Web安全
共
140328
人围观
1
2
3
4
/ 4 页
下一页