2024-10-13 微信公众号精选安全技术文章总览

洞见网安 2024-10-13

0x1 利用MySQL特性，WAF绕过技巧

泷羽Sec 2024-10-13 15:14:13

本文详细介绍了利用MySQL特性绕过WAF（Web应用防火墙）的技巧，包括使用特殊符号和空白字符、SQL注释技巧、字符串函数以及条件语句等。文章通过具体案例展示了如何在实际攻击中运用这些技巧，如绕过简单的关键字过滤和复杂的逻辑检测。此外，文章还强调了攻击者通过深入理解MySQL数据库特性来发现绕过过滤机制的方法。最后，作者指出了解这些技巧对于防御者优化WAF规则、提高Web应用安全性同样重要，强调了攻防对抗中数据库特性的重要性。

SQL注入 Web安全 网络安全 CTF 渗透测试

0x2 深入剖析Java内存马: Tomcat下的Servlet、Filter与Listener攻击技术

Heihu Share 2024-10-13 14:58:07

内存马三件套核心原理。

0x3 Js逆向入门：AST技术解混淆（下篇）

Daylight庆尘 2024-10-13 12:10:56

AST技术在Js反混淆中的利用，如何使用AST技术还原混淆代码，以及两种最常见的反混淆示例

0x4 Windows系统服务提权(含提权实验+环境配置教程)

掌控安全EDU 2024-10-13 12:03:01

Windows系统服务提权(含提权实验+环境配置教程)

0x5 thinkphp报错页面泄露数据库账户密码

黑熊安全 2024-10-13 10:02:40

本文讨论了ThinkPHP框架的一个安全问题，即在某些情况下，ThinkPHP网站的错误页面可能会意外泄露数据库的账户密码信息。虽然这种情况发生的概率较低，但确实存在一些页面会暴露此类敏感信息。泄露的信息是明文的，这意味着如果数据库端口开放，攻击者可以尝试使用泄露的账户密码进行连接。这对于网站的安全是一个重大隐患，需要开发者注意并采取措施来防止此类信息泄露。建议开发者检查和配置错误处理页面，确保不会泄露敏感信息，同时也要确保数据库端口的安全，防止未授权访问。

SQL注入 敏感信息泄露 安全配置

0x6 通过 Facebook OAuth 错误配置进行账户前接管

安全狗的自我修养 2024-10-13 07:28:02

本文介绍了作者在测试一个BBP时发现的一个Facebook OAuth错误配置漏洞。作者在尝试使用Facebook账户注册目标网站时，发现可以仅编辑目标网站的姓名和个人资料照片访问权限，而无需进行电子邮件确认。利用这一漏洞，作者使用未注册的电子邮件地址成功创建了账户，并且可以通过Facebook验证来接管该账户。文章详细描述了整个利用过程，包括如何通过Facebook创建账户、使用相同电子邮件地址再次创建账户以及最终接管账户的步骤。此漏洞暴露了OAuth认证流程中的安全问题，提醒开发者在实施OAuth时需谨慎配置，确保账户安全。

OAuth 账户接管 身份验证绕过 权限配置错误 注册流程漏洞 安全漏洞

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/10/13】