跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导...
[安全工具开发-5]MOSAIC Crypt Tools V1.6更新
0x01宏景加解密模块 支持两种模式加解密 "Decode","SafeDecode","Encode","SafeEncode", 添加safe模式加解密,解决普通模式无法加密解密 0...
从解析器的角度探究绕WAF姿势
0x01 前言分享一下之前记得笔记吧,关于使用Srping 5.x StandardServletMultipartResolver文件上传解析器绕waf的学习。0x02 代码分析 参考以下信...
[Nuclei-05]Nuclei文件上传中的一些技巧
0x00免责声明免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,...
【漏洞复现】浙大恩特客户资源管理系统 crmbasicaction 任意文件上传
免责声明此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时联系我们。谢谢!漏洞概述...
推荐两款nuclei POC模板生成神器-.yaml-POC漏洞批量扫描工具
0x01 工具介绍 这里推荐一款Burp转Nuclei模板的插件,可以让你写Nuclei Poc 的效率直接拉满。下载后导入bp 即可,使用也非常简单。 0x02 快速上手 ...
CVE-2023-50164(S2-066)-Struts2-文件上传逻辑缺陷任意命令执行
细腻的美好藏在生活的各处Delicate beauty is hidden in every corner of life.Struts2发布了新漏洞CVE-2023-50164,apache命名为S...
WAF防护绕过技巧分析
一WAF介绍与分类01WAF简介Web应用防护系统(Web Application Firewall,网站应用级入侵防御系统),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供...
用友N-accept.jsp文件上传漏洞
#yimessage用友NC是大型企业管理与电子商务平台,帮助企业实现管理转型升级全面从以产品为中心转向以客户为中心(C2B);从流程驱动转向数据驱动(DDE);从延时运行转为实时运行(RTE);从领...
用友NC accept.jsp任意文件上传漏洞复现 nuclei poc
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!01—漏洞名称用友NC acc...
记一次Confluence Rce绕WAF的过程
经历一段时间的面面面试,目前算是基本稳定了,记得在某次面试过程中发现目标企业存在Confluence未授权rce的漏洞,后续再次尝试时发现被waf拦截了,所以多了个和waf对抗的故事1、HTTP隧道传...
waf绕过——打狗棒法
前言 某狗可谓是比较好绕过的waf,但是随着现在的发展,某狗也是越来越难绕过了,但是也不是毫无办法,争取这篇文章给正在学习waf绕过的小白来入门一种另类的waf绕过。环境的搭建: 环境的搭建就选择ph...