流量检测对于检测流量的,我们可以在rememberme里添加非base64字符如$,!这些进行绕过。原理:org.apache.shiro.codec.Base64;里面的解码有去除垃圾字符的作用(这...
【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2023-50164)
一、漏洞概述CVE IDCVE-2023-50164发现时间2023-12-07类 型RCE等 级高危攻...
漏洞复现 用友NC nc.uap.oba.update.IUpdateService XXE漏洞
0x02 漏洞描述 用友nc nc.uap.oba.update.IUpdateService存在xml注入漏洞。 0x03 漏洞复现 fofa-query: app="用友-UFIDA-NC" 1....
记一次edu渗透测试
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任 背景:近来的生活过于清闲,有朋友让发点edu相关的,遂有本篇文章(第一次写edu相...
浅聊SUID
简介SUID全称Set owner User ID up on execution,是Linux给可执行文件的一个属性,设置了s位的程序在运行时其Effective UID将会设置为这个程序的所有者。...
从一道题分析Invoke-PSImage隐藏webshell到图片
从一道题分析Invoke-PSImage隐藏webshell到图片前言写这篇文章的目的主要是群友给我了一道湖南省赛的一道恶意webshell隐藏到图片的题目,感觉之前没怎么遇到过,正好借助这个题目进行...
HTTP_Apache_Ofbiz_反序列化漏洞分析
漏洞说明Apache Ofbiz 0day 未授权代码执行(CVE-2023-49070):影响Apache OFBiz before 18.12.10,来自于CVE-2020-9496的绕过漏洞复现...
国际密码算法选用及标准解读
前言近期商密因为相关标准和政策上了一波热度,今天来点不一样的,聊一聊国际密码算法。前段时间,开发跟我扯3DES还安全,可以用,RSA 1024大家都在用,为啥我们不能用,告诉他不安全,他不认,让我列出...
开源检测入侵用户的工具
Whoamifuck(司稽,先秦时抓小偷滴官员),永恒之锋发布的第一款开源工具,这是一款由shell编写的检测入侵用户的工具,经过功能的更新,已经不仅限于检查用户的登入信息。 Whoamifuck工具...
原创丨美国网络安全和基础设施安全局发布首版人工智能发展路线图
一、背景概述 2023年11月14日,美国网络安全和基础设施安全局(CISA)发布第一版人工智能路线图,旨在为安全开发和实施人工智能的相关项目提供指导。据了解,本次发布的路线图是拜登政府10月底发布行...
朝鲜黑客窃取韩国超 1.2TB 国防技术文件
由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件,并勒索了 35.6 万美元的赎金。首尔警察厅发布的一份声明称,来自平壤的网络攻击者成功地从韩国的十几家公司...
【国际视野】欧盟发布《DoS攻击威胁态势》
近日,【国际视野】欧盟发布《DoS 攻击威胁态势》,报告旨在为DoS 威胁形势提供新的见解。通过仔细分析DoS 攻击的动机和影响,报告中分享的见解是对2022 年 1月至 2023 年8 月期间发现的...
16168