import - 第 7 | CN-SEC 中文网

安全文章

Shiro还能这样玩[第二弹]| 再遇某CMS-shiro的小技巧

前言又一次攻防中，还是遇到了JEECMS，同样是有key，但是没有常规链可以回显。使用DNSURL利用链可以出网。收集信息发现JEECMS信息的又一个小技巧：通过install.html可以查看jee...

06月28日222 views评论

阅读全文

安全开发

Django 学习笔记 | 3、视图

后台管理页面搞定之后，就需要做公共页面的访问了对于Django的设计框架MVT：用户在URL中请求的是视图视图接受请求后进行处理然后将处理的结果返回给请求者使用视图时要进行的两步操作：定义视图配置UR...

06月26日29 views评论

阅读全文

安全文章

Python在线编程导致命令执行（二）

之前的案例《某Python学习网站在线编码导致命令执行》漏洞修复后再次绕过的两种方法。测试仍以黑名单形式过滤关键字。且只过滤用户输入，并未影响到运行时。思路：这种过滤使用混淆(字符拼接、编码等)即...

06月26日96 views评论

阅读全文

CTF专场

Crypto-RSA-公钥攻击小结

前言本篇文章对一些常见的公钥RSA攻击进行小结，欢迎补充e=1当e只有1的时候，我们有当c小于N的时候，c即m题目如下N=0x180be86dc898a3c3a710e52b31de460f8f350...

06月22日74 views评论

阅读全文

安全文章

漏洞复现 CVE-2019-0193 solr RCE

0x01 漏洞描述 ApacheSolr是一个功能强大的开源搜索服务器，它支持REST风格API。Apache Solr如果启用了DataImportHan...

06月21日323 views评论

阅读全文

JS基本功系列-模块化相关小结

背景面试中可能会被问到模块化，类似：谈谈模块化的历程？AMD和CMD的区别？这里整理一下。模块化是什么编程领域中的模块化，就是遵守固定的规则，把一个大文件拆成独立并互相依赖的多个小模块。进化史简...

06月21日安全开发34 views评论

阅读全文

安全文章

浅析Ofbiz反序列化漏洞（CVE-2021-26295）

0x00 前言之前分析过Ofbiz的CVE-2020-9496了，现在继续看看另一个洞即CVE-2021-26295。0x01 SOAP简介SOAP（Simple Object Access Prot...

06月20日95 views评论

阅读全文

安全漏洞

Spring-security authorization bypass CVE-2022-22978 analysis

前言Spring Security 是 Spring 家族中的一个安全管理框架。在 Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRe...

06月20日90 views评论

阅读全文

安全工具

常见服务爆破小脚本

常见服务弱口令爆破脚本（weak_pwd）目录结构pip安装以下模块pymysqlparamikopymssqlcoloramaftplibtelnetlibargparse选项-h, HELP, -...

06月18日79 views评论

阅读全文

安全文章

java安全 fastjson不出网利用

最近暗月大哥在忙由帅气的暗月小徒弟来更新以下是平时一些笔记。希望对大家有用。1.介绍fastjson getshell的时候需要构造一个恶意类用的 rmi和jdni协议都是要出网的。...

06月14日224 views评论

阅读全文

安全文章

强盗工具分析

Bandit 是安全使用 python 中的一个问题的分析，它会处理代码后续结果源代码安全工具文件，解析出 AST 分支树运行的，当 Bandit 扫描生成生成报告项目地址：https://githu...

06月14日25 views评论

阅读全文

CTF专场

2022年ISCC信息安全与对抗技术竞赛WP-1(1)

本文来自：天权网安生态圈作者：天权Megrez首言最近我们参加了2022年ISCC信息安全与对抗技术竞赛WP-1,现在我们来看看这次比赛的题目和解答方法吧!今天我们主要讲解关...

06月14日9 views评论

阅读全文

Shiro还能这样玩[第二弹]| 再遇某CMS-shiro的小技巧

Django 学习笔记 | 3、视图

Python在线编程导致命令执行（二）

漏洞复现 CVE-2019-0193 solr RCE

JS基本功系列-模块化相关小结

浅析Ofbiz反序列化漏洞（CVE-2021-26295）

Spring-security authorization bypass CVE-2022-22978 analysis

常见服务爆破小脚本

java安全 fastjson不出网利用

2022年ISCC信息安全与对抗技术竞赛WP-1(1)

在线咨询

微信