几年前,在与LockBit勒索软件安全事件中,发现:攻击者偏好使用特定的文件共享平台进行数据传输。这些平台包括temp.sh, file.io, sendspace.com, anonfiles.co...
一次非常规功能点的存储XSS
一般XSS点是在留言、新增项等等地方,一般也都需要登录本文记录的试一次渗透中碰到的非常规的XSS功能点,无需登录所以也可以说是未授权XSS,并且直取admin漏洞功能点位于【系统日志】处此处记录并审计...
62个与弱密码相关的协议或软件
1. Asterisk:开源的SIP服务器软件。2. AFP:文件共享协议,苹果公司开发的,全称AppleTalk Filing Protocol。3.&n...
【漏洞通告】Smartbi 安全绕过漏洞风险通告
漏洞背景 近日,嘉诚安全监测到Smartbi官方修复了某种特定情况下的登录与权限验证漏洞,漏洞编号:暂无。 Smartbi是广州思迈特软件有限公司旗下的一款商业智能应用,满足用户在企业级报表、数据可视...
漏洞预警 | Jenkins跨站请求伪造漏洞
0x00 漏洞编号CVE-2023-351410x01 危险等级高危0x02 漏洞概述Jenkins是一款开源CI&CD软件,用于自动化各种任务,包括构建、测试和部署软件。Jenkins支持各...
一些重要的SQLMap命令
前言SQLMap是每个渗透测试师的必备工具。这是众多强大的主流工具之一,尤其是在测试OWASP Top 10中的SQL注入漏洞时。从扫描SQL注入漏洞到获取数据库名字、表和列,以及获得系统访问权限,其...
干货 | 冰蝎各版本工具分析与魔改思路
0x00 V2版本1. 项目github项目:https://github.com/rebeyond/Behinder/releases/V2 源码:https://github.com/hktale...
【转载】Gopher协议在SSRF中的应用
原文链接:https://www.freebuf.com/articles/web/346222.htmlGopher协议Gopher协议是一种通信协议,用于在Internet 协议网络中分发、搜索和...
公司规定所有接口都用 POST请求?
点击下方“IT牧场”,选择“设为星标”最近在逛知乎的时候发现一个有趣的问题:《公司规定所有接口都用 post 请求,这是为什么?》原问题:https://www.zhihu.com/question/...
以8KB大小的POST请求绕过谷歌web应用防火墙
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌 web 应用防火墙 (WAF) 默认防护机制中的安全限制可导致该公司的云防护措施被绕过。 安全咨询公司 Kloudle 的研究人员发现,只需...