1、概述Squirrelly 是一个用 JavaScript 实现的现代、可配置且速度极快的模板引擎。漏洞原因就是 Squirrelly 通过 Express 渲染 API 将纯模板数据与引擎配置选项...
WEB常见漏洞之文件包含(基础原理篇)
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狐狸说安全及文章作者不为此承担任何责任。0x01漏洞概述和SQL注...
智能合约安全审计入门篇 —— 移花接木
By:小白背景概述上期我们了解了利用 tx.origin 进行钓鱼的攻击手法,本期我们来带大家了解一下如何识别在合约中隐藏的恶意代码。前置知识大家还记得之前几期部署攻击合约时我们会传入目标合约的地址,...
记Thinkphp漏洞复现学习
ThinkphpV6多语言漏洞原理ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,实现目录穿越与文件包含组合拳的利用,通过pe...
扬帆,起航php入门
php基础教程https://www.runoob.com/php/php-tutorial.htmlhttps://www.w3cschool.cn/php/phpstorm使用https://bl...
利用solidity与EVM本身的漏洞进行攻击(上)
编译与执行solidity是一种高级语言,由人类来编写,语法上类似JavaSrcipt。solidity的源代码可以由编译器编译成以太坊虚拟机(EVM)的字节码,字节码可以在EVM上运行。EVM有许多...
【表哥有话说 第84期】vm沙箱逃逸
时隔一周表哥们又带来新的内容了本期所讲解的是vm沙箱逃逸想学习新内容的小伙伴们 赶快来看看吧!!!0x01 沙箱逃逸初识说到沙箱逃逸,我们先来明确一些基本的概念...
极致编译速度,一文搞定webpack5升级
头图在尝试升级 webpack5 之前,建议大家尽量先把官方文档[1]通读一遍,可以少走很多弯路,本文是在结合具体业务场景后,对官方文档的归纳和补充。背景music-musician-web-node...
记一次链上赌场攻击事件
01事件背景1.1 愤怒的项目方一位刚刚毕业的Web3创业者,编写了一个赌场的项目,用户可以通过Mint NFT来进行抽奖。但不幸的是,合约中有一个初级的安全漏洞,导...
内网渗透 | AS REQ Roasting攻击
点击上方“蓝字”,关注更多精彩0x00 前言 最近因为工作压力有些大,生活学习工作时间无法很好平衡,给自己了一段时间冷静打气,重新起航,希望不辜负大家的期待。0x01 漏洞概述 AS-REP Roas...
一文了解文件包含漏洞
一文了解文件包含漏洞前言本篇总结归纳文件包含漏洞1、什么是文件包含文件包含漏洞程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一...
【技术分享】DiceCTF 2021 学习笔记
前阵子做了一下 Dice CTF 2021,做出了几个 XSS ,本次就写一下包括复现题在内的所有学习笔记。01Babier CSPDescriptionBaby CSP was too h...