CVE-2017-12615对应的漏洞为任意文件写入,主要影响的是Tomcat的7.0.0-7.0.81这几个版本漏洞原理由于配置不当(非默认配置),将配置文件conf/web.xml中的readon...
http协议的waf绕过
一、 请求方法也就是GET/POST,waf可能以此为依据对流量检测,列举一些少数不用GET/POST的请求情况。比如IIS和tomcat存在老掉牙的PUT漏洞,W...
【奇技淫巧】PHP file_put_content函数写文件鸡肋绕过
昨天遇到个站,非常奇葩,把客户的评论写到文件里面,而且开了报错。所以就很容易地看出了那个文件的源码,大概是这样的: &...
批量删除QQ微博之简易Java版
批量删除QQ微博之简易Java版 浮萍 | 2015-02-06 16:59 写了半天,发表的时候竟然出错了,然后不得不重新写一次。。。。 PS:以后发表前要先备份呀。 先上代码吧。 /** * 发表...
安全研究 | 多种方式利用HTTP PUT方法漏洞
今天分享的文章是对HTTP PUT方法开启漏洞的多种应用讲析,在实战场景中,首先我们要确定目标网站是否启用了HTTP PUT方法,如果启用的话,我们就可以结合多种利用工具和相关方法,向目标网站上传Me...
记某cms的漏洞挖掘之旅
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬任...
不安全的HTTP方法
我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。WebDAV (Web-based Distributed Authorin...
file_put_content和死亡·杂糅代码之缘
亲爱的,关注我吧9/1文章共计4652个词今天的内容有一些图,流量用户注意哦9月的第一天,和我一起阅读吧文章转载来源:先知社区https://xz.aliyun.com/t/8163如何优雅地写一篇文...
Python利用S3的Presigned URLs实现无鉴权上传与下载
S3协议操作对象存储服务,通常是实现上传下载功能。但是在某些场景下,程序不具备操作权限,或为了安全原因而缩小权限配置,需要实现无鉴权的上传与下载。这时可以用S3协议的Presigned URLs来实现...
IIS PUT漏洞复现
IIS PUT漏洞复现漏洞原理WebDAV(Web-based Distributed Authoring and Versioning) 是一种HTTP1.1的扩展协议。它扩展了HTTP 1.1,在...
3