0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
Android Deep Link 攻击面
Deep Link 介绍 概念`Android Deep Link(深层链接)`[1] 是一种特殊的链接协议,主要用于在应用程序之间导航和交互,使用 Deep Link 可以从一个 APP 跳转到另一...
SQL注入&预编译
本文主要讲述在使用预编译时仍然可能存在SQL注入的情况SQL注入&预编译这篇文章来源于被预编译搞的头疼,捡垃圾的我只是想捡个注入,然鹅随着使用预编译的广泛使用,让我这个捡垃圾的捡不到注入了。但...
java代码审计-CSRF
0x01 前言CSRF跨站请求伪造(Cross-site request forgery),当某个接口没有设置CSRF验证,点击了别人恶意的链接,可能会造成对这个接口发送相应的数据,造成某个数据被更改...
【JAVA代码审计】从零开始的Hibernate框架SQL注入审计(下)
点击上方“公众号” 可以订阅哦!Hello,各位小伙伴大家好~这里是一名白帽的成长史~上期讲完了SSH框架的搭建:【JAVA代码审计】从零开始的Hibernate框架SQL注入审计(上)今天一起来看看...
快速伪造钓鱼站点
前言大多数时候在对客户做钓鱼演练的时候,不仅需要复制客户指定的网站,还需要结合gophish来监测客户员工是否点击链接、是否输入数据等。克隆网站很简单,但gophish要想保存数据,就必须满足form...
【答疑解惑】2023年了,预编译真的可以完美解决SQL注入漏洞吗?
答案很明确:不行!SQL注入&预编译渗透测试本文主要讲述在使用预编译时仍然可能存在SQL注入的情况SQL注入&预编译这篇文章来源于被预编译搞的头疼,捡垃圾的我只是想捡个注入,然鹅随着使...
西湖论剑-Upnp WriteUp
前言 这次应该是以一个NETGEAR R7000路由器的nDay为基础出的题,当时还在想是不是要挖上面的UPnP的0Day,没有意识到需要进行信息收集找相关漏洞分析。后面放出提示才意识到思路错了,在...
CVE-2023-21554原始查询利用略有不同的字段
点击蓝字,关注我们识别具有服务和侦听端口的主机:MDEDeviceNetworkEvents| where Timestamp > ago(30d)| where ActionType == "...
深入学习smali语法
本文为看雪论坛优秀文章看雪论坛作者ID:blx2024一前言在对某个 apk 文件进行代码注入的时候,我们面对的往往是反编译后的 smali 代码,而不是直接的 Java 源码文件,因而了解 smal...
探究公众号接口漏洞:从后台登录口到旁站getshell
入口发现与利用公众号接口的安全漏洞 某120公众号提供了一处考核平台,通过浏览器处打开该网站。 打开可以看到一处密码登录口,试了一下常用的手机号和密码,没有登录成功。 ...
文件上传漏洞总结
漏洞介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。 漏洞详解 我们的测试平台:upload_l...
27