xxhzz@PortalLab实验室漏洞描述6月29日,Atlassian官方发布安全公告,在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过...
CobaltStrike上线Linux【文末赠书】
在红蓝对抗中,我们常需要对目标进行长时间的控制,cobaltstrike原生对于上线windows比较轻松友好,但如果是Linux平台就需要用到第三方插件了。准备工作这里使用CrossC2的插件,类似...
【内存马专题系列文章】WebSocket 内存马,一种新型内存马技术
WebSocket 内存马,一种新型内存马技术0.兼容性测试(1)目前测试通过Tomcat、Spring、Jetty、WebSphere、WebLogicNodejs (无法动态注入,需要修改代码后重...
物联网安全实战从零开始-CVE-2019-1762
本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作。背景  ...
靶场科普 | 文件上传之MIME绕过
点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍文件上传之MIME绕过今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“文件上传之MIME绕过”。一、实验介绍1. 文件上...
一次实战挖掘软件逻辑漏洞
软件不仅仅限于逆向挖掘,还要了解它的功能,尽而寻找它的缺陷,所谓知己知彼百战不殆。用两个案例带大家了解一下。案例1:百度云限速众所周知,所以网上也有很多突破限速的软件,SpeedPanX 极速版的付费...
系统日志的安全管理与审计 | FreeBuf甲方群话题讨论
当企业遇到安全攻击事件时,系统设备产生的日志能协助进行安全事件的分析与还原,尽快找到事件发生的时间、原因等,而不同设备间的日志联动,还能关联分析监测真正有威胁的攻击行为,还原出真实的攻击情况,可见日志...
浅谈IPv6的入侵与防御
前言最近的客户,从前年开始进行ipv4到ipv6的过渡,到目前为止,大部分设备处于双栈或者部分系统没有进行过渡更新。因为毕竟是甲方,所以工作推进的很稳健,到交到我们手上的时候,我们只需要输出关于对ip...
MQTT协议安全之踩坑
大家好,我是银基Tiger Team的BaCde,今天来说说MQTT协议的安全。MQTT 全称为 Message Queuing Telemetry Transport(消息队列遥测传输)...
原创 | 浅析JNDI注入
点击蓝字关注我们JNDITrail: Java Naming and Directory Interface (The Java Tutorials) (oracle.com)The JNDI Tut...
27