XML 介绍XXE全称XML外部实体注入,所以在介绍XXE漏洞之前,先来说一说什么是XML以及为什么使用XML进而再介绍一下XML的结构。XML全称 可拓展标记语言,与HTML相互配合后:HMTL用来...
XXE漏洞快速入门
在下方公众号后台回复:【网络安全】,可获取给你准备的最新网安教程全家桶。一:初识XXE漏洞1.XXE简介XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改...
CVE-2017-14627栈溢出漏洞及exploit的调试与分析
本文为看雪论坛优秀文章看雪论坛作者ID:DriverUnload纸上得来终觉浅,绝知此事要躬行 --陆游一前言最近《漏洞战争》快看完了,也跟着书把漏洞分析了一遍。虽然也有自己的思...
钓鱼页面之无视浏览器URL栏
技术分享网络安全形势日趋严峻,层出不穷的网络钓鱼攻击可以托管各种恶意软件和勒索软件攻击,更糟糕的是这些攻击正在呈现持续上升的趋势。众多提及如何防范钓鱼网站的文章都会建议用户检查URL地址栏,确认是否对...
XStream通览漏洞分析
点击蓝字 / 关注我们基础简介XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。原理依赖<d...
XStream通览漏洞分析
基础 简介 XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。 原理 依赖 <dependency> &l...
XSS 常用标签及绕过姿势总结
扫码领资料获黑客教程免费&进群一、xss 常见标签语句0x01. <a> 标签<a href="javascript:alert(1)">test</a>&...
对全网上一些JSONP蜜罐探索与识别
jsonp是为了解决什么问题 在互联网通信过程中,ajax请求受同源策略影响,不允许进行跨域请求,而script标签src属性中的链接却可以访问跨域的js脚本,利用这个特性,服务端不再返回JSON格式...
【代码审计】梦想CMS注入与新秀GETSELL
Part1梦想CMS代码审计之SQL注入1前言梦想cms(lmxcms)使用php语言和mysql数据库开发,并且采用了主流的MVC设计模式,使系统框架结构清晰、易维护、模块化、扩展性更好,而且系统中...
Apache Struts2 S2-062 远程代码执行漏洞 CVE-2021-31805
1.漏洞描述该漏洞由于对CVE-2020-17530的修复不完整造成的,CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属...
Yaklang XSS 检测启发式算法(被动扫描插件)
背景上一篇介绍了XSS 启发式检测基础设施,本篇通过Yak提供的基础设施编写一个xss检测插件。本次xss靶场使用pentesterlab的xss靶场。环境部署git clone https://gi...
基于LPWAN技术的低成本 IoT 物联网企业资产管理解决方案
资产管理是企业管理的重要组成部分,企业使用传统的人工盘点方式,往往面临资产数量多,管理难度大、盘点效率低、盘点台账对账困难等突出问题。RFID为资产提供唯一标识,是资产的电子身份证,但是受限于群读成功...
10