今年是 KCon 10周年,疫情环境下线下会议举步维艰,原本计划在8月底进行的大会随后推迟到10月底。相比往年,今年很多人没能来到现场,但对于各项议题也同样高度关注。考虑到未到场听众的急切心情,我们决...
网络攻防|XSS Flash弹窗钓鱼
点击上方蓝字关注我们0x00 前言xss弹出flash更新是一种常见的钓鱼手法,本文介绍一下整体思路和部分技术细节。注意:任何未经授权的渗透都是违法行为,本文仅用于技术讨论,切勿用于违法途径前期准备服...
内网攻防经典技术备忘录
前言很早就想专门写一篇关于内网的文章,一直没有腾出空来,万万没想到,写下这篇文章的时候,竟然是我来某实验室实习的时间段:)信息搜集nmap扫描实时存活的ipnmap 10.1.1.1 --open -...
梦想CMS注入漏洞分析&发现小彩蛋
更多全球网络安全资讯尽在邑安全0x01 前言查资料的时候,偶然间看到这样一个漏洞,在一个提交表单的地方,插入SQL语句,便可以进行报错注入。看着有点像二次注入,对于这样类型的注入,我个人遇到的还是比较...
近代日本的情报工作
近代日本肇始于明治维新时期。明治时期的日本在逐步摆脱西方列强的压迫后,转而实行对外侵略扩张的战略,其目标...
警惕:GitLab RCE漏洞 (CVE-2021-22205) 已被广泛利用
0x00 风险概述近日,GitLab中的一个未经身份验证的远程代码执行漏洞(CVE-2021-22205)被广泛利用,该漏洞已于4月修复,但目前仍有超过 30,000 个GitLab未修复此漏洞。&n...
[更新] 安防企业大华遭DarkSide附属团伙UNC2465供应链攻击
更多全球网络安全资讯尽在邑安全 Mandiant 研究人员发现,Darkside 勒索软件团伙的一个附属机构(编号为 UNC2465)对一家闭路电视供应商进行了供应链攻击。UNC2465 被认为是 D...
【漏洞通告】BIND拒绝服务漏洞(CVE-2021-25219)
0x00 漏洞概述CVE IDCVE-2021-25219时 间2021-10-27类 型Dos等 &n...
命令执行的内些事儿
前言在日常渗透中特别是打ctf的时候,遇到的命令执行都会被魔改一番,限制的多,需要的就是靠多刷题多积累各种骚姿势,下面开始班门弄斧!#针对linux绕过场景#1 普通绕过使用url编码/双编码看实际情...
工信安全中心发布《人工智能安全测评白皮书 (2021)》
关注我们带你读懂网络安全10月16日,在“第二届两化融合暨数字化转型大会人工智能论坛”上,国家工业信息安全发展研究中心工程师朱倩倩发布最新研究成果《人工智能安全测评白皮书(2021)》。当前,人工智能...
JadedWraith:轻量级Unix后门
关于JadedWraithJadedWraith是一款功能强大的轻量级Unix后门,仅供研究及教育目的使用。该工具对于红队研究人员和CTF参赛人员非常有用,并且可以在不被反病毒产品检测到的情况下植入目...
寻找更多IDOR漏洞的几种方法
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。国外一位白帽小哥分享了几种寻找更多IDOR...
8339