Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。这可能会导致通过p...
Dompdf PHP< 8 上反序列化任意对象
Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。phar这可能会导...
CVE-2022-46169 的 PoC - Cacti <= 1.2.22 上未经身份验证的 RCE
positional arguments: target URL of the Cacti application.optional arguments: -f FILE File containin...
傻瓜方式分析前端应用的体积
图片来源:cdn77.com前端应用的 bundle 体积是影响应用性能的主要方面之一,我们看下取自 HTTP Archive - Loading Speed 的两幅截图大概是得益于设备性能以及带宽的...
Python网络远程开机的脚本工具
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
原创 | 从一道CTF题浅谈QLExpress的那些事
点击蓝字关注我们前言前段时间看了一道CTF题目babyQL。 传送门:https://mp.weixin.qq.com/s/kACnYYwJWycT53BxrWjoxQ 从wp里看大概意思是QLE...
ClickHouse 查询优化详细介绍
作者:oliverdding,腾讯 CSIG 测试开发工程师你想要的 ClickHouse 优化,都在这里。ClickHouse 是 OLAP(Online analytical processing...
从JDK源码来看XXE的触发原理和对应的防御手段
前言这几天继续在重写GadgetInspector工具,进一步的增强该自动化工具的source点和sink点,同时增强过程中的漏报和误报的问题。这里主要是对其中有关于XXE中的两点sink进行几点分析...
【工具学习】DirSearch解构1——读取参数与配置
0x01 前言好久不见,搞了个知识星球,大学生补贴一下生活费,因为技术菜,所以也就50意思下,大佬勿喷,也算是记录一下自己成长的过程,最近打算学习下优秀的安全工具,就从WEB目录扫描工具DirSear...
Py解析heapdump
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
【2022护网情报更新】护网漏洞更新,含POC
1、Apache Spark UI 命令注入漏洞 [CVE-2022-33891]Shodan 搜索:http.favicon.hash:856048515import requests, Confi...
【2022护网情报更新】护网漏洞更新,含POC
1、Apache Spark UI 命令注入漏洞 [CVE-2022-33891]Shodan 搜索:http.favicon.hash:856048515import requests, Confi...
7