admin 发表的所有文章 | CN-SEC 中文网

安全文章

利用CSP防御存储型XSS

背景：前段时间在公司前端安全培训时，了解了一下CSP协议，当时在网上找了很多国内文章都只是介绍如何去用官方文档的配置，没有解释或者场景告诉大家如何使用，非常抽象。刚好最近在做内部安全平台的前后端开发，...

03月26日7 views评论

阅读全文

安全新闻

超过 400 个 IP 利用多个 SSRF 漏洞发起协同网络攻击

威胁情报公司 GreyNoise 警告称，跨多个平台的服务器端请求伪造 (SSRF) 漏洞利用出现“协同激增”。该公司表示：“我们已经发现至少 400 个 IP 同时积极利用多个 SSRF CVE，并...

03月26日13 views评论

阅读全文

业务逻辑漏洞不正常案例

业务逻辑漏洞的“另类运用”通常指利用业务流程中非技术性设计缺陷，通过非常规手段绕过规则限制或触发异常逻辑，达到攻击目的。这类漏洞往往隐蔽性强，防御难度高，因为它们直接针对业务规则而非代码漏洞。以下是一...

03月26日安全文章16 views评论

阅读全文

业务逻辑漏洞挖掘与分析

业务逻辑漏洞的“另类运用”通常需要攻击者深入理解目标业务流程，通过逆向思维和非预期操作触发异常逻辑。其操作流程可划分为以下关键阶段，结合具体案例说明攻击路径和实现方式：阶段一：业务逻辑逆向分析1. 信...

03月26日安全文章16 views评论

阅读全文

安全漏洞

蓝凌EIS智慧协同平台UniformEntry.aspx sql注入漏洞 POC

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...

03月26日41 views评论

阅读全文

供应链安全

开发人员警惕！勒索软件FreeFix投毒供应链致软件生态安全告急

不久前，360数字安全集团发布了关于新型勒索软件FreeFix的详细分析报告，并提供了免费的技术解密服务。近期，360监测到FreeFix的传播量依旧居高不下，经深入分析发现，FreeFix的各种传播...

03月26日7 views评论

阅读全文

安全新闻

全球DrayTek 路由器进入重启循环

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士全球很多互联网服务提供商 (ISPs) 都在提醒客户注意从上周日晚上开始的宕机事故触发的 DrayTek 路由器连接问题。受该事件影响的用户表示，多个...

03月26日6 views评论

阅读全文

安全闲碎

HackerOne审核漏洞的隐藏规则：为什么你的报告总被拒？

“ 和审核斗智斗勇。”看到了，关注一下不吃亏啊，点个赞转发一下啦，WP看不下去的，可以B站搜：标松君，UP主录的打靶视频，欢迎关注。顺便宣传一下星球：重生者安全，里面每天会不定期更新OSCP知识点，...

03月26日19 views评论

阅读全文

取证分析

Android某输入法剪切板数据解密

原文始发于微信公众号（网络安全与取证研究）：Android某输入法剪切板数据解密

03月26日14 views评论

阅读全文

PHP 8 后门漏洞分析与复现指南

漏洞背景PHP开发团队意外发布了一个包含后门代码的PHP 8.1.0-dev版本。这个后门很快被安全研究人员发现并从后续版本中移除。但检索发现，仍然有站点使用未修复版本运行，本文将详细介绍该漏洞的技术...

03月26日安全文章9 views评论

阅读全文

安全工具

通过补丁比对来寻找微软3月补丁修复的ntfs漏洞

通过补丁比对来寻找微软3月补丁修复的ntfs漏洞背景微软在3月补丁修复了四个NTFS相关的漏洞，其中有三个检测到了在野利用：本文我们就通过diff的方式来寻找其中的一个漏洞修复，并尝试做一个poc出来...

03月26日28 views评论

阅读全文

admin

利用CSP防御存储型XSS

超过 400 个 IP 利用多个 SSRF 漏洞发起协同网络攻击

业务逻辑漏洞不正常案例

业务逻辑漏洞挖掘与分析

蓝凌EIS智慧协同平台UniformEntry.aspx sql注入漏洞 POC

开发人员警惕！勒索软件FreeFix投毒供应链致软件生态安全告急

全球DrayTek 路由器进入重启循环

HackerOne审核漏洞的隐藏规则：为什么你的报告总被拒？

Android某输入法剪切板数据解密

PHP 8 后门漏洞分析与复现指南

最新一款信息收集综合工具

通过补丁比对来寻找微软3月补丁修复的ntfs漏洞

在线咨询

微信