文章来源:安全圈据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power A...
手工注入基础-MySQL注入流程
生活不止眼前的苟且,还有诗和远方的田野,你赤手空拳来到人世间,为找到那片海不顾一切。——《生活不止眼前的苟且》背景:最近很多小伙伴问一些SQL注入很基础的问题,所以就想写一篇基础文章进行科普。什么是S...
实战案例:针对某系统postgresql注入
△△△点击上方“蓝字”关注我们了解更多精彩0x00 介绍 一次内部攻防演练,发现一站点的日期搜索功能存在SQL注入漏洞,经过初步探测,目标系统为Centos7+Apache+PHP7+Pos...
Java安全静态代理
在Java代码审计中静态代理是必须要掌握的,什么是Java静态代理?代理这个词是来源于Java设计模式中的代理模式,代理模式最简单的理解就是通过第三方来代理我们...
渗透实战 | 与某WAF对线三百回合
旧文重发:之前投稿到安译首发,现在重发申请一下原创。 0x00 前言这里分享一个项目,目标系统漏洞百出但有一个极其nb的waf。我和它斗智斗勇每天进展一点点,最终用一周时间基本搞定。一直认为...
零基础解密手机WX【视频讲解】
本文首发于奇安信攻防社区:https://forum.butian.net/share/489前言:微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利。但同时也给 不法分子带来新的...
福特汽车公司出现暴露客户和员工记录的漏洞
据Bleeping Computer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞,福特称该...
【Cheetah语言】Cheetah由浅入深编写SQL注入脚本
点击上方蓝字关注我们在此先需要提前声明一下,做次文章只是为了扩大大家的学习兴趣。 SQL注入脚本的构思 1.目标数据库:my...
MSSQL提权漏洞复现
本篇文章是MSSQL数据库漏洞提权复现记录,由浅入深地介绍了系统存储过程控制不当导致提权如sp_oacreate和sp_oamethod、扩展存储过程使用不当提权如xp_cmdshell和xp_reg...
MSSQL注入总结
0x00 前言之前所有的sql注入类型的博客都以mysql数据库为例子的,但是在最近实际的渗透测试中有时会遇到一些MSSQL的数据库,所以对MSSQL注入进行一次总结。0x01 MSSQLms SQL...
7000万客户数据库正被出售,AT&T却否认遭遇数据泄露
根据最新报道,一个名为Shiny Hunters的网络犯罪团伙目前正在暗网论坛上出售一个包含了7000万AT&T客户私人信息的数据库。然而,美国电信提供商AT&T却否认自己受到了数据泄...
一次简单的手机数据库解密
近期有个小伙伴发我一个数据库加密的应用分析,发现是近期友商出的一个题目,分析后整理一下过程,首先发我APK的同时,也发我了他的解析思路,但是我分析后发现过于麻烦,不够简洁,所以重新按着自己的思路分析的...
55