什么是xxe漏洞?XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁...
利用Burp Suite插件进行自动化漏洞挖掘【附完整代码】
需求分析 测试sql基本注入的载荷,在可能有sql发送测试包,目前只测试url中的,并可以根据错误回显判断出数据库类型,需要有用户界面,可以加载到Burp的Extensions模块 环境准备:Jyth...
揭示JWT开放标准的认证安全问题
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它被广泛用于Web应用程序中。然而,尽管JWT是一种流行的身份验证机制,但它也可存在一些安全漏洞。 JWT原理 JWT 的原理...
黑客(红队)攻防中cymothoa后门的利用
前言: 最近事情太多了过的也不是很顺心,所以就没有特别活跃,在忙自己的东西,公众号也没发东西好久了,师傅们多多担待!正文:cymothoa简介: Cymothoa是一款隐秘的后门工具,通过向目标...
TLS 注入
本期作者/牛杰概述TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入...
【安全科普】Python之pickle反序列漏洞
网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同,python也有序列化/反序列化的方式python序列化主要有pickle、marshal...
parselmouth — 自动化的 Python 沙箱逃逸 payload bypass 框架
🍊 parselmouth 介绍这是橘子杀手的第 57 篇文章题图摄于:韩国 · 涉地可支parselmouth —— 自动化的 Python 沙箱逃逸 payload bypass 框架☁️ 基本介...
基于eBPF的端口复用新解
背景1.1 端口复用端口复用是一种网络编程技术,允许多个套接字在同一传输层协议(如TCP或UDP)下绑定到相同的端口号上。端口复用的可以提高服务器处理并发连接的能力,尤其是在短时间内有大量连接尝试到达...
Linux 恶意软件攻击配置不当的云服务器
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司 Cado Security 公司提醒称,涉及 Linux 恶意软件的加密劫持活动正在以新的唯一的恶意payload 攻击配置不当的 Ap...
代码审计-某.net程序文件写入漏洞分析
0免责声明文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言前段时间看到公开了一个漏洞payl...
Cloudflare WAF Bypass XSS
Payload Used : "><img src=x onerror=alert(1)> [Blocked By Cloudflare]Payload Used : ">&l...
【刻刀】一款java漏洞集合工具-hyacinth
0x01 声明该公众号分享的安全工具和项目均来源于网络,仅供学术交流,请勿直接用于任何商业场合和非法用途。如用于其它用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。0x02 hyaci...