聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科建议已达生命周期的 Small Business RV 路由器所有人升级到更新机型,因为该路由器中存在一个远程代码执行0day 且思科...
WEB3 安全系列 || 攻击类型和经验教训
Web3对于个人所有权和数据主权的追求,也会引起了各类安全问题(因为个体对安全知识理解和熟悉层次的差异),但这些安全问题,不应该成为阻碍Web3的发展势头。首先来回顾一下Web2。Web 2 技术和工...
命令执行漏洞[无]回显[不]出网利用技巧
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任...
漏洞复现 CVE-2019-17558 solr RCE
0x01 漏洞描述 ApacheSolr是一个功能强大的开源搜索服务器,它支持REST风格API。2019年10月30日,国外安全研究人员放出了一个关于so...
Spring-security authorization bypass CVE-2022-22978 analysis
前言Spring Security 是 Spring 家族中的一个安全管理框架。在 Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRe...
某测试端口的.net-Web功能到GetShell
0x01 前言项目中碰到了一个端口存在目录遍历,比较运气的是泄漏了ASP.NET的obj目录,最终找到了Web功能模块的DLL,实现了未授权的文件上传GetShell。0x02 过程在发现了这个端口存...
Web 全栈推拉能手 Socket.IO 库
Web 前端与后台的通信短轮询:通过不断发送 http 请求达到即时通信的目的长轮询:访问无资源并不会立刻返回,保持较长时间的通讯,直到获得数据或超时返回。WebSocket:基于 TCP 协议,兼容...
思科安全邮件设备现严重漏洞,认证机制可被绕过
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,思科通知客户修复一个严重漏洞(CVE-2022-20798),它可导致攻击者在非默认配置下,绕过认证并登录到思科邮件网关设备的web...
WEB3 安全系列 || 银河系视角带你领略被盗的NFT
随着web3领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。本系列文章从web3安全出发...
【技术分享】2020 第五空间 智能安全大赛 Web Writeup
一、hate-php这道Web题比较简单,访问后直接返回源代码进行审计<?phperror_reporting(0);if(!isset($_GET['code'])){ highlight_f...
Web协议层安全之websocket安全分析
一、 概 述WebSocket 是HTML5一种新的网络传输协议,位于 OSI 模型的应用层,可在单个TCP连接上进行全双工通信。1.1 HTTP 和 WebScoket段落的...
Web应用程序安全测试备忘录
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果...
126