网络安全是现代社会中非常重要的一个问题,尤其是随着信息技术的飞速发展,我们面临着越来越多的网络安全威胁。本文将介绍区块链核心技术的四个主要部分,分别是共识机制、分布式存储、智能合约以及密码学。每个技术...
界面劫持之拖放劫持分析
01 拖放劫持发展历程 在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等...
通过利用Tor网络绕过IP锁定
前言 平时做项目或者挖SRC的过程中,在遇到扫目录或者凑低危用户名枚举等会有大量请求的情况时,总有各种WAF出来拦截,而且通过各种方式还绕不掉,只能通过换IP的形式来进行绕过。 本文就主要说明如何通过...
实战 | 从SpringBoot 未授权访问到Getshell
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
天降神兵-狙击供应链(一)
免责声明本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。...
Bypass宝塔+dedecms 文件上传漏洞复现
前言1,弱口令发现目标网站,为宝塔搭建的dedecms,于是自己服务器搭建同样的2 get请求phpinfo() 有waf,上传文件有waf3,寻找资料,发现是,宝塔的ngix防火墙。同样在自己的服务...
某学校SQL注入到远程登录渗透过程 | 实战
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!请大家遵守网络安全法,切勿非法渗透。本文漏洞已报告给学校。最近收集了一些内网的资产,遇到一个有意思的系统,然后就随便搞了玩玩。比较简单,大佬勿...
Apache Tomcat远程代码执行漏洞(CVE-2019-0232)
网安引领时代,弥天点亮未来 0x00写在前面本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍Apache Tomca...
大佬怒赚万$-通过GraphQL API实现存储型XSS到账户接管(ATO)的攻击
去年底在HackerOne的一次LHE(由于时间非常紧迫,这只在后面才变得重要),我在一个主要品牌的网站上发现了一个非常具有挑战性的漏洞,涉及多层利用,最终导致一个存储型XSS payload能够通过...
你的服务器都是怎么被拿下的?|攻防演练真实案例
2023年6月的一天,A公司的安全运维老张正在加班加点进行最后的红蓝演练防守,突然收到了一条反弹Shell高危命令告警。告警显示,有攻击者通过/bin/sh-c命令执行/usr/bin/bash-i命...
重大活动保障之迪普技战法
近年来,为维护国家网络安全,提升关键信息基础设施网络安全防护水平,各单位定期开展实战化攻防演练,以实战攻防演练的方式验证各关键信息基础设施单位的网络安全保障能力。在此背景下,迪普科技基于持续七年的国家...
如何使用RTA框架测试安全团队的威胁行为检测能力
【FreeBuf福利群招新啦!群内不定期开启各种抽奖活动;FreeBuf盲盒、大象公仔......在这里,拓宽网安边界甲方安全建设干货;乙方最新技术理念;全球最新的网络安全资讯;如群已满,请添加Fre...
5690