这大概是闭关前的最后一更了,周五的夜色悄悄来临,借着公司的余光,我敲出这一篇推文,给大家分享比较另类但却小众的漏洞。 正文 这次的主题是postMessage未验证消息来源origin,...
03月23日51 views评论eval
页面
垃圾洞,在SRC捡了1w赏金。
03月23日51 views评论eval
页面
03月23日51 views评论eval
页面
硬编码密钥自动识别工具
DumpsterDive,可以分析大量数据以搜索硬编码的机密,如密钥(例如AWS访问密钥,Azure共享密钥或SSH密钥)或密码。 此外,它还允许创建具有基本条件的简单搜索规则(例如,仅报告包含至少 ...
03月23日34 views评论硬编码
硬编码扫描
Typecho(17.10.30)版本XSS审计
Typecho是一款轻量级的博客程序。和wp一样受到了很多人的青睐。但比wp更加轻巧简单。在17.10.30版本中,存在一处XSS漏洞。本文让我们一起复现,并进行一起简单的代码审计吧!安装typech...
03月23日97 views评论xss
代码审计
国内某购物App因“恶意软件”被谷歌下架
据报道,由于发现拼多多APP存在恶意软件问题,谷歌已暂时将该应用从商店下架。 谷歌在一份声明中表示,出于“安全考虑”,它暂停了Google Play应用商店中的拼多多应用,并表示正在调查此事。谷歌公司...
03月23日73 views评论play
恶意软件
暗影重重:肚脑虫(Donot)组织近期攻击手法总结
概述 肚脑虫组织,又名Donot,奇安信内部编号APT-Q-38,被认为具有南亚某国政府背景。该组织主要针对政府机构、国防军事部门以及商务领域重要人士实施网络间谍活动,受害者包括中国以及巴基斯坦、斯里...
03月23日69 views评论文档
样本
初探java加载动态链接库
前言前两天学习了DLL,又看到了文章,利用java加载动态链接库绕过杀软:通过动态链接库绕过反病毒软件Hook - Break JVM后部分的内容有点深入,所以浅显的学习一下整体思路。环境:jdk1....
03月23日158 views评论loadlibrary
动态链接库
CVE-2023-21752 Windows 备份服务漏洞分析
简介 Windows备份服务为计算机提供备份和还原的功能。它依赖于Microsoft Windows备份引擎,提供了备份和还原的基本功能,例如备份系统镜像、文件、文件夹和应用程序数据等。CVE-202...
03月23日35 views评论函数
备份
工控CTF中常见题型介绍
工控CTF中常见题型介绍—tale去年参加了几场工控CTF比赛,基本都在坐牢。闲暇之余对工控CTF中常见的题型进行学习。赛事介绍工控CTF题目主要以流量分析、无线电分析、组态分析、梯形图等方向为主,偶...
03月23日93 views评论ctf
hex
一款go语言的IP查询工具
0x00 项目编译项目是开源的,地址在此https://github.com/SleepingBag945/IPSearch直接下载IP.zip文件和exe文件,本机运行发现错误。具体错误消息Bina...
03月23日71 views评论go
ip
微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁
微软 2023 年 3 月的补丁星期二更新正在推出,修复了一组80 个安全漏洞,其中两个已在野外被积极利用。这次微软发布漏洞日期,正好是Pi Day! 3 月 14 日 (3/14) 在世界各地庆祝圆...
03月23日116 views评论adobe
cvss
【安全研究】Jackson 学习笔记
基本介绍Jackson框架是基于Java平台的一套数据处理工具,被称为"最好的Java Json解析器",目前Jackson主要有1.x和2.x两个分支版本,其中1.x的类库中包命名以org.code...
03月23日30 views评论factory
jackson
Burp Collaborator的奇淫技巧
0x00 前言 测试的时候总是被WAF或办公安全产品拦,网上很多要注册/登录,所以就想着自己搭建一个,方便使用。部署的时候发现一个很奇妙的技巧。 0x01 发现过程 部署好后,直接curl测试的时候发...
03月23日118 views评论burp
net
26033