请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

Web安全

ANSWER AND QUESTION

    浅析HTTP走私攻击

    浅析HTTP走私攻击

    Jeeseen2021-3-24 17:41
    如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用的一种攻击手法“HTTP请求走私”,它可以使 ...
    安全技术 | 一次众测实战sql注入绕过

    安全技术 | 一次众测实战sql注入绕过

    Jeeseen2021-2-22 11:35
    作者:锦行科技 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现 ...
    【漏洞复现】XXL-JOB API接口未授权访问RCE

    【漏洞复现】XXL-JOB API接口未授权访问RCE

    齐安科技2021-2-5 16:43
    承影安全是齐安科技旗下安全研究团队专门负责的一个平台,专注于安全类攻防研究,会不定期输出一些相关的技术类文章,欢迎大家订阅! XXL-JOB描述XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速 ...
    Nodejs中模板引擎渲染原理与潜在隐患探讨

    Nodejs中模板引擎渲染原理与潜在隐患探讨

    无恒实验室2021-1-21 17:37
    一、背景此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的? ...
    【漏洞通告】Apache Struts远程代码执行漏洞

    【漏洞通告】Apache Struts远程代码执行漏洞

    指尖安全-小胖2020-12-8 20:20
    2020年12月08日,Apache Struts 官方发布安全公告,披露 S2-061 Struts 远程代码执行漏洞。 漏洞描述Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Str ...
    【漏洞通告】宝塔出现严重漏洞,宝塔用户请紧急更新!

    【漏洞通告】宝塔出现严重漏洞,宝塔用户请紧急更新!

    指尖安全-小胖2020-8-23 19:17
    漏洞描述宝塔面板出现严重数据库漏洞,官方发布紧急安全更新。公告要求所有用户升级到最新版本,但未说明安全事件的任何信息。据了解,此次更新是为了修复phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重Bug ...
    F5 BIG-IP hsqldb漏洞踩坑分析

    F5 BIG-IP hsqldb漏洞踩坑分析

    知道创宇2020-7-16 14:21
    F5 BIG-IP hsqldb(CVE-2020-5902)漏洞踩坑分析 作者:[email protected]:2020年7月10日English Version: https://paper.seebug.org/1272/原文链接:https://paper.seebug.org/1271/ F5 BIG-IP最近发生 ...
    从反序列化到类型混淆漏洞——记一次 ecshop 实例利用

    从反序列化到类型混淆漏洞——记一次 ecshop 实例利用

    知道创宇2020-7-9 11:01
    作者:[email protected]:2020年3月31日English Version: https://paper.seebug.org/1268原文链接:https://paper.seebug.org/1267/ 本文初完成于2020年3月31日,由于涉及到0day利用,所以于2020年3 ...
    发卡平台的渗透测试

    发卡平台的渗透测试

    AttackCTF2020-7-2 17:45
    0x0 事前缘由 无聊中。。。。。发现一个比较有意思的平台,话不多说,直接开撸。 0x1 正常开头 先从某度搜索类似这种网站,访问某发卡平台正常,界面如下:然后使用目录扫描工具,发现仅存的几个目录。结果如下:访 ...
    Tomcat基于Servlet的无文件webshell的相关技术研究

    Tomcat基于Servlet的无文件webshell的相关技术研究

    指尖安全-小胖2020-6-29 20:21
    转:宽字节安全前几篇文章主要介绍了在tomcat,weblogic下如何通过动态注册一个Filter的方式,去实现无文件落地的webshell。当然在J2EE中,我们也可以动态注册一个Servlet去实现无文件落地的webshell。 以下分析基于 ...
    tomcat结合shiro无文件webshell的技术研究以及检测方法

    tomcat结合shiro无文件webshell的技术研究以及检测方法

    指尖安全-小胖2020-6-9 20:22
    转:宽字节安全 0x01简介shiro结合tomcat回显,使用公开的方法,回显大多都会报错。因为生成的payload过大,而tomcat在默认情况下,接收的最大http头部大小为8192。如果超过这个大小,则tomcat会返回400错误。而某些 ...
    【漏洞通告】Fastjson全版本远程代码执行

    【漏洞通告】Fastjson全版本远程代码执行

    指尖安全-小胖2020-5-28 21:35
    漏洞描述近日,补天漏洞响应平台通过某安全渠道了解到,Fastjson将在下个版本(1.2.69)修复一个重大的漏洞,小于1.2.69版本的Fastjson存在远程代码执行漏洞,可导致直接获取服务器权限。该漏洞利用门槛低,风险影响 ...
    空指针- 最新版DZ3.4实战渗透

    空指针- 最新版DZ3.4实战渗透

    知道创宇2020-5-13 10:38
    作者:[email protected]:2020年5月11日原文地址:https://paper.seebug.org/1197/ 周末看了一下这次空指针的第三次Web公开赛,稍微研究了下发现这是一份最新版DZ3.4几乎默认配置的环境,我们需要在 ...
    Apache CommonCollection Gadget几种特殊的玩法

    Apache CommonCollection Gadget几种特殊的玩法

    指尖安全-小胖2020-5-11 20:31
    作者:宽字节安全0x01 简介众所周知,CommonCollection Gadget主要是由ConstantTransformer,InvokerTransformer,ChainedTransformer构成。gadget主要通过Transformer接口的transform方法,对输入的对象做变换。Con ...
    CVE-2020-1938 幽灵猫漏洞RCE

    CVE-2020-1938 幽灵猫漏洞RCE

    怀特怀特2020-2-21 19:14
    存在此漏洞Tomcat版本: 7.*分支7.0.100之前版本 8.*分支8.5.51之前版本 9.*分支9.0.31之前版本 漏洞原理见这里,此处只表RCE方式。 msf生成反弹马,监听首先使用msf生成反弹shell马,为方便上传之用直接生成为.png后 ...
1234下一页