概念: 越权,顾名思义,就是超出了权限或权力范围。多数WEB应用都具备权限划分和控制,但是如果权限控制功能设计存在缺陷,那么攻击者就可以通过这些缺陷来访问未经授权的...
为什么Redis要比Memcached更火?
前言我们都知道,Redis和Memcached都是内存数据库,它们的访问速度非常之快。但我们在开发过程中,这两个内存数据库,我们到底要如何选择呢?它们的优劣都有哪些?为什么现在看Redis要比Memc...
隐私窃贼病毒分析报告
1.概述近日我们在恒安嘉新态势感知平台上监测到一款仿冒韩国音乐应用的病毒样本。经过安全研究人员分析,发现该应用在用户不知情的情况下,窃取用户设备短信、联系人、设备信息等敏感数据,之后便隐藏图标保持后台...
Flask 入门系列教程(二)
本节,我们先从一道经典的面试题目开始:当你在浏览器中输入一个 URL 并按下 Enter 后,都发生了什么?其实这个问题还是蛮大的,网上也有很多解读,今天我们就从 HTTP 来入手,看看这背后究竟发生...
泛微云桥 e-bridge 任意文件读取漏洞
漏洞影响范围几乎影响2018-2019全版本漏洞利用过程发起GET请求,请求参数如下/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file://...
由一次渗透测试引发的HTTP请求走私思考
文章来源: 酒仙桥六号部队一、背景:前几天朋友发了一个朋友圈说他的网站刚建好没有多久就被别人给脱库了,里面有一些客户的资料,有点难受。便向他询问了一些事情,溯源无果后便和他商量了一下帮助他将...
xlog web日志扫描工具
基于flex & bison的web日志扫描工具与二进制扫描工具yara语法相似一、语法规则//例1: 检测url//含义:请求url种含有$str,不含有$str1 且 请求为post 或者...
这些 Nginx 常见异常,帮你快速定位故障
提示:文章前面部分是关于 nginx 下 https 连接 curl 请求被 reset 的处理经历,不想看可以直接跳到最后看nginx快速定位异常,建议收藏!问题描述网站上线后,添加了https证书...
PHP编码安全:请求伪造攻击
来自公众号:计算机与网络安全如果Web系统中存在服务器请求伪造漏洞,不仅会影响系统本身,而且会影响到与其相关的其他系统服务。一个被忽视的服务器请求伪造漏洞,很容易引起蝴蝶效应,可能给整个系统带来长期的...
换一种姿势挖掘CORS漏洞
最近一直在挖CORS配置错误这个问题,但是还没找到像样的案例,就先归纳一下这个漏洞,顺便记录一下学到的新姿势,希望对大家有所帮助在阅读本文之前,你应该已经知道什么是CORS了,以及CORS配置错误会带...
sctf2020 pysandbox 1&2 分析
更多全球网络安全资讯尽在邑安全前置知识flask处理流程flask的很多功能是建立在 Werkzeug 之上的 ,根据WSGI接口,实现了_call_,没当有请求进入,边会调用这个方法跟进来,在这里建...
Gopher协议使用总结
这是 酒仙桥六号部队 的第 64 篇文章。全文共计3714个字,预计阅读时长12分钟。什么是Gopher协议?Gopher协议是一个通信协议,它用来设计,分配,...
12