阅读本文大概需要 5.5 分钟。来自:jaskey.github.io/blog/2020/05/19/handle-duplicate-request对于一些用户请求,在某些情况下是可能重复发送的,...
我在src挖了个2000块的漏洞
本次仅为学习交流,请遵守《中华人民共和国网络安全法》,勿用于非授权测试,如作他用所承受的法律责任一概与作者无关。由于过年游手好闲,利用挖src来过过时间。挖漏洞我们是专业的! &...
SonicWall SSL-VPN RCE复现及iconhash脚本分享
△△△点击上方“蓝字”关注我们了解更多精彩0x00 Preface SonicWall SSL-VPN 历史版本中存在漏洞,远程攻击者利用 C...
F-Login 1.1 验证码识别登录爆破
from:http://zone.wooyun.org/content/25606当在安全测试时候,遇到有验证码的后台通常都不知道要怎么处理,F-Login 就是为此开发出来的,比起现一些其他同类某工...
手机杀软工作原理剖析
零、前言本文研究的是手机杀软**管家2.8—3.6版本的杀毒模块功能实现。众所周知,杀毒软件查杀病毒分为主动查杀和被动查杀两种方式。**管家的主动查杀包括快速查收和全盘查杀,而快速查杀和全盘查杀都使用...
指尖上的威胁情报——ThreatPinch
最近看到个好玩的东西ThreatPinch,一个开源情报的Chrome插件。针对安全分析师日常工作接触到最多的几大类IoC,加拿大一个老外把它做成一个Chrome插件往几个开源的情报源查询。实现情报分...
某系统漏洞挖掘之授权绕过到rce
本文为看雪论坛精华文章看雪论坛作者ID:零加一1漏洞挖掘基本信息首先进行端口扫描,发现仅开了23和80。telnet 连接23端口发现如果输入的用户名不对都会断开连接。浏览器进行登录然后抓包,获取可以...
记一次挖矿病毒分析
前言上午接到同事通知,有客户中了挖矿病毒,所以通过 ssh 登陆服务器检查,简单记录后遂有此文。阶段一:从发现脚本到删除脚本1、使用top命令查看系统运行情况,发现多个名为sustse的进程占用 cp...
MD5攻陷之际,SHA-1还能走多远
三张不同的图片,同一个MD5值,亲手试试呗。零、前言众所周知,SHA-1算法已经不再被认为是一个安全的加密哈希函数。研究人员认为,在未来几个月中将会找到一个哈希碰撞(两个不同的信息使用SHA-1哈希后...
工欲善其事必先利其器之Burp加密爆破(jsEncrypter、BurpCrypto)
点击蓝字关注我们前几天在其它公众号看到讲加密爆破的,讲的非常好,但我发现BurpCrypto工具也非常优秀,就一起再说一次。一、 使用场景在我们渗透过程在,经常会发现没有验证码,也没有登录次...
3