websocket | CN-SEC 中文网

安全文章

浅谈WebSocket安全风险

前言在现代Web开发中，WebSocket协议因其高效的实时双向通信能力而被广泛应用于聊天、在线游戏、实时数据推送等场景。然而，随着WebSocket的普及，其相关的安全漏洞也逐渐浮出水面。webso...

06月23日14 views评论

阅读全文

安全文章

云安全 | k8s 提权漏洞 CVE-2018-1002105 学习

以下内容为自己个人的学习笔记，因此内容不会多么详实；其中有些内容也许会存在错误，如有错误欢迎留言处指出，还望谅解。0x00 前言CVE-2018-1002105 是一个 k8s 提权漏洞，该漏洞允许攻...

06月08日8 views评论

阅读全文

安全文章

Java Agent 注入 WebSocket 的高级玩法

免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号安全洞察知识图谱及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

06月03日36 views评论

阅读全文

安全闲碎

揭秘曹县IT农场：曹县IT工作者如何不被发现

导读曹县IT特工开展的一项复杂的内部威胁行动展示了如何利用合法软件工具来创建企业环境中几乎无法检测的远程访问系统。该活动持续到 2024 年，其中传统的恶意软件签名和行为检测系统被证明对在受信任的公...

06月02日10 views评论

阅读全文

Pwn2Own 爱尔兰 - 群晖 BeePhotos 任意命令注入

【翻译】BEEPHOTOS ARBITRARY COMMANDLINE INJECTION免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请...

06月01日安全文章29 views评论

阅读全文

安全文章

Chisel解密：基于Zeek的检测规则开发与调试踩坑实录

Chisel工具介绍工具概述Chisel是一款轻量级的，基于HTTP协议传输的快速TCP/UDP隧道工具，通过SSH实现安全加密，采用GO语言编写。其客户端和服务器端集成于同一个可执行文件中，服务器端...

05月26日37 views评论

阅读全文

安全文章

WebSocket 安全测试入门实践

0x01 概述在近期的渗透测试工作中，笔者发现部分目标网站同时采用了 HTTP 和 WebSocket 协议来完成不同的业务交互，例如：某些网站上传接口使用websocket，导致都不知道怎么测试上传...

05月19日33 views评论

阅读全文

安全文章

小皮面板从未授权到RCE

影响版本：XPanel v1.3.3之前存在鉴权绕过，可构造恶意请求直接访问后台管理接口，结合任意文件下载获取数据库文件，并提取ssh私钥，实现RCE。fofa：icon_hash="-1458616...

05月15日20 views评论

阅读全文

安全文章

【涨知识】加密C2框架Vshell流量分析

一、工具介绍 Vshell是一款功能全面的红队工具，其设计兼顾隐蔽性与灵活性，尤其适合模拟网络攻击和测试防御体系。该工具支持TCP、UDP、KCP、WebSocket、DNS、DOH、DOT等多...

05月15日69 views评论

阅读全文

XSS（跨站脚本攻击）的非常规高级利用技巧

以下是XSS（跨站脚本攻击）的非常规高级利用技巧，涵盖深度渗透、持久化攻击及现代浏览器特性滥用等场景，适合在严格防御环境下突破限制：一、持久化与深度渗透1. Service Worker劫持场景：目标...

05月08日安全文章26 views评论

阅读全文

安全新闻

Magecart 攻击升级：电商平台支付信息遭高度混淆代码窃取

关键词网络攻击一种复杂的 Magecart 攻击活动已被发现，其目标指向电子商务平台，攻击者使用经过高度混淆的 JavaScript 代码来获取敏感的支付信息。这一最新的 Magecart 数据窃取攻...

04月24日25 views评论

阅读全文

安全文章

JsRpc结合yakit热加载实现签名破解

免责声明文章中涉及的内容可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。前言最近在做一个项目的渗透，发现是存在签名的，由...

04月23日48 views评论

阅读全文