聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苏黎世联邦理工学院的研究人员表示,新型推断性执行攻击可导致英特尔和AMD处理器信息泄露。这种攻击被命名为 “Retbleed”。该攻击针对...
【漏洞复现】Spring4Shell远程命令执行漏洞(CVE-2022-22965)
0x01 前言 Java Spring framework今年又爆出两个远程命令执行漏洞,一个影响的是Spring Cloud组件,另一个就是...
IMC加密数据库解密方法分享
从前种种,譬如昨日死;从后种种,譬如今日生。——《了凡四训》偶然看到,便寥寥写下。如何判断是此种加密方式,类型如“-xxx-xxx...”的,或者对于安装了IMC工具的服务器,会存在某些特征,比如特征...
蚁剑webshell动态加密连接分析
0x001 前言 蚁剑采用了Electron打包作为外壳,ES6 ,dhtmlx,Nodejs 作为前端代码编写语言,搭配Babel&&Webpack进行组件化构建编译,外加iconv...
Thinkphp5.1应用初探
直接审计tp的话应该会很有难度,不妨先了解一些tp内置规则和用法,便于在后续的审计中更好的理解代码含义。 源码下载链接 ThinkPHP5.1 开发手册 安装 没有composer可以去下载,傻瓜式安...
备战2022第三届网鼎杯-【2018年 网鼎杯CTF 第一场】教育组 WP
202第三届 “网鼎杯”官方资格赛线上报名6月2日10:00-7月27日20:00报名地址:https://www.wangdingcup.com/本号陆续会更新回复第一届、第二届网鼎杯赛题WPmis...
Il2Cpp恢复符号过程分析
本文为看雪论坛优秀文章看雪论坛作者ID:R1mao一Il2Cpp介绍unity作为两大游戏引擎之一,其安全性也值得被关注。在早期unity的脚本都是采用C#编写的,直接编译成C#模块,所以直接使用C#...
AMSI原理与绕过(上)
TL;DR之前大概学过相关的技术但没认真研究和总结过,最近又研究学习了一下,这里做一下总结和分享。大家在渗透的时候都用过powershell,powershell的功能可谓非常之强大,常用于信息搜集、...
Python在线编程导致命令执行(二)
之前的案例 《某Python学习网站在线编码导致命令执行》 漏洞修复后再次绕过的两种方法。测试仍以黑名单形式过滤关键字。且只过滤用户输入,并未影响到运行时。思路:这种过滤使用混淆(字符拼接、编码等)即...
实战|Tomcat文件上传流量层面绕waf新姿势
文章作者: Y4tacker,欢迎访问作者博客文章链接: https://y4tacker.github.io写在前面无意中看到ch1ng师傅的文章觉得很有趣,不得不感叹师傅太厉害...
11