发现朋友圈都在转发Sec-IN社区的公测信息,我也注册了一个账号。作为一个安全人员,总是对新出现的业务安全性充满兴趣,于是打开控制台看看。 整体网站是vue开发,典型的前后端分离架构,后端使用Rest...
新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中
更多全球网络安全资讯尽在邑安全本周在npm注册表中发现了一个新的恶意程序包,该程序包针对使用Linux和Apple macOS操作系统的NodeJS开发人员。该恶意程序包称为“ web-browser...
Envoy 自定义授权和限流示例
译者注: 原 repo 因为 envoy 版本问题会报错,故对原文稍做修改,支持最新的 v3 API。最近, 我所工作的一个团队选择 Envory 作为一个系统构建的核心组件。关于它的介绍以及包含或围...
wscript.shell组件被禁用时 可以用Shell.Application执行命令
站长说明: 非常非常老的文章了,又翻出来看了看,觉得比较有用,就转出来了。 wscript.shell 和 shell.application 这两个组件都是来执行程序的,因此是最不安...
【技巧】Wscript.Shell 恢复 Wscript.Shell 卸载
Wscript.Shell 恢复,修复,修正,修理,Wscript.Shell 恢复 ,Wscript.Shell 修复,Wscript.Shell 修正,Wscript.Shell 修理 ,...
Hadoop 未授权访问漏洞(exp核心代码实现)
一、环境搭建:进入镜像目录:cd vulhub/hadoop/unauthorized-yarn启动环境:docker-compose up -d访问8088端口二、漏洞描述:Hadoop作为一个分布...
记一次受委托的产品安全测试
更多全球网络安全资讯尽在邑安全前言一个平平无奇的周末,哥们儿发来消息,说自己手上有个产品安全测试搞不定,想让我帮帮忙——本来是不乐意的,但海底捞实在是香,所以有了这次受委托的产品安全测试。一、组件漏洞...
偶然的一次渗透从弱口令->docker逃逸
0x01 前言前两天一直在学习Python造轮子,方便自己前期信息收集,测试脚本进行批量扫描的时候,无意中点开的一个带有edu域名,便有此文0x02 前期信息收集Web整体架构:操作系统: Ubunt...
cobaltstrike系列教程(一)
CobaltStrike是一款非常强大的工具,和MSF类似,但功能更加强大。Cobalt Strike 分为客户端组件和服务器组件。服务器组件,也就是团队服务器,是 Beacon ...
【安全热点周报】第178期:WebLogic多个组件高危漏洞部分漏洞细节已公开
本文始发于微信公众号(奇安信 CERT):【安全热点周报】第178期:WebLogic多个组件高危漏洞部分漏洞细节已公开
从逆向到开发,启动wps公式编辑器
一次对WPS内部公式编辑器加载过程的逆向分析。作者:维阵漏洞研究员--lawhack 微软的office产品内置了一个名为公式编辑器的组件,该组件主要用来对文档中的Object Linking and...
某大学从弱口令->Docker逃逸
0x01 前言前两天一直在学习Python造轮子,方便自己前期信息收集,测试脚本进行批量扫描的时候无意中点开的一个带有edu域名,便有此文0x02 前期信息收集Web整体架构:操作系统: Ubuntu...
23