Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。这可能会导致通过p...
02月12日80 views评论php
反序列化
CVE-2023-23924 通过 `phar` URL 包装器在 PHP < 8 上反序列化任意对象
02月12日80 views评论php
反序列化
02月12日80 views评论php
反序列化
Dompdf PHP< 8 上反序列化任意对象
Dompdf 是一个 HTML 到 PDF 的转换器。<image>通过传递带有大写字母的标签,可以在 SVG 解析时绕过 dompdf 2.0.1 上的 URI 验证。phar这可能会导...
02月07日47 views评论php
反序列化
CVE-2022-46169 的 PoC - Cacti <= 1.2.22 上未经身份验证的 RCE
positional arguments: target URL of the Cacti application.optional arguments: -f FILE File containin...
02月03日79 views评论rce
身份验证
傻瓜方式分析前端应用的体积
图片来源:cdn77.com前端应用的 bundle 体积是影响应用性能的主要方面之一,我们看下取自 HTTP Archive - Loading Speed 的两幅截图大概是得益于设备性能以及带宽的...
01月17日7 views评论ctx
parser
Python网络远程开机的脚本工具
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
01月16日安全工具15 viewsPython网络远程开机的脚本工具已关闭评论parser
socket
原创 | 从一道CTF题浅谈QLExpress的那些事
点击蓝字关注我们前言前段时间看了一道CTF题目babyQL。 传送门:https://mp.weixin.qq.com/s/kACnYYwJWycT53BxrWjoxQ 从wp里看大概意思是QLE...
01月12日266 views评论com
string
ClickHouse 查询优化详细介绍
作者:oliverdding,腾讯 CSIG 测试开发工程师你想要的 ClickHouse 优化,都在这里。ClickHouse 是 OLAP(Online analytical processing...
01月07日88 views评论parse
parser
从JDK源码来看XXE的触发原理和对应的防御手段
前言这几天继续在重写GadgetInspector工具,进一步的增强该自动化工具的source点和sink点,同时增强过程中的漏报和误报的问题。这里主要是对其中有关于XXE中的两点sink进行几点分析...
12月28日7 views评论parse
xxe
【工具学习】DirSearch解构1——读取参数与配置
0x01 前言好久不见,搞了个知识星球,大学生补贴一下生活费,因为技术菜,所以也就50意思下,大佬勿喷,也算是记录一下自己成长的过程,最近打算学习下优秀的安全工具,就从WEB目录扫描工具DirSear...
09月16日54 views评论parse
sage
Py解析heapdump
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
08月24日49 views评论parse
parser
【2022护网情报更新】护网漏洞更新,含POC
1、Apache Spark UI 命令注入漏洞 [CVE-2022-33891]Shodan 搜索:http.favicon.hash:856048515import requests, Confi...
08月04日HW&HVV1,626 views【2022护网情报更新】护网漏洞更新,含POC已关闭评论http
payload
【2022护网情报更新】护网漏洞更新,含POC
1、Apache Spark UI 命令注入漏洞 [CVE-2022-33891]Shodan 搜索:http.favicon.hash:856048515import requests, Confi...
08月04日HW&HVV1,813 views评论payload
poc
7