admin 发表的所有文章 | CN-SEC 中文网

mysql常用命令整理

一些命令老是忘记，好记性不如烂笔头。 mysql安装ubuntu 123apt-get install mysql-serverapt-get install mysql-clientapt-get ...

01月06日安全博客41 views评论

阅读全文

安全博客

Flask debug模式下的PIN码安全性

首发于先知社区https://xz.aliyun.com/t/8092 一、概述Flask 如果在生产环境中开启 debug模式，就会产生一个交互的shell,可以执行自定义的 python 代码。在...

01月06日163 views评论

阅读全文

安全博客

redis安全小结

redis是完全开源免费的，遵守BSD协议，是一个高性能的key-value数据库。Redis服务的默认端口是6379,默认是不设置密码，可以未授权访问，导致出现一些安全隐患。环境搭建redis-s...

01月06日290 views评论

阅读全文

CTF专场

JWT认证问题

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案。 JWT 的原理JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。 12345{...

01月06日165 views评论

阅读全文

python反序列化漏洞

我们把变量从内存中变成可存储或传输的过程称之为序列化。序列化之后，就可以把序列化后的内容写入磁盘，或者通过网络传输到别的机器上。反过来，把变量内容从序列化的对象重新读到内存里称之为反序列化。反序列化...

01月06日安全博客73 views评论

阅读全文

CTF专场

python格式化字符串漏洞

format格式化字符处只能读取属性而不能执行方法，可以用来读取一些敏感的信息，这里主要是关于format格式化的利用分析格式化字符串方式在 python 中，提供了 4种主要的格式化字符串方式，...

01月06日337 views评论

阅读全文

Flask Debug PIN安全问题

Flask在生产环境中开启Debug模式,存在交互式Python shell可以执行自定义Python代码。在旧版本的Flask中是不需要输入PIN码认证就可以执行代码,在新版本的Flask中需要输...

01月06日安全博客65 views评论

阅读全文

安全博客

Flask模板注入(SSTI)

SSTI(Server-Side Template Injection)，即服务端模板注入攻击,ssti主要为python的一些框架 jinja2 mako tornado django，PHP框架s...

01月06日875 views评论

阅读全文

安全博客

javascript原型链污染

刚学完nodejs不久，趁热打铁将javascript原型链污染学习一下。 JavaScript 是一门面向对象的语言，但是在 ES6 之前，JavaScript 中没有 class 语法。不过在它的...

01月06日71 views评论

阅读全文

CTF专场

python的沙箱逃匿

沙箱逃逸就是在在一个严格限制的python环境中，通过绕过限制和过滤达到执行更高权限，甚至getshell的过程。执行模块执行命令的模块123456ostimeit plarformsubproc...

01月06日91 views评论

阅读全文

命令执行及绕过

详情可看如下两篇浅谈CTF中命令执行与绕过的小技巧命令执行的一些绕过技巧 linux下的命令查看文件12345678910111213cat 由第一行开始显示内容，并将所有内容输出tac 从最后一行倒...

01月06日安全博客50 views评论

阅读全文

安全博客

CODEBREAKING_writeup

网址：https://code-breaking.com/ easy - function12345678910<?php$action = $_GET['action'] ?? '';$arg...

01月06日67 views评论

阅读全文

admin

mysql常用命令整理

Flask debug模式下的PIN码安全性

redis安全小结

JWT认证问题

python反序列化漏洞

python格式化字符串漏洞

Flask Debug PIN安全问题

Flask模板注入(SSTI)

javascript原型链污染

python的沙箱逃匿

命令执行及绕过

CODEBREAKING_writeup

在线咨询

微信