Struts2 s2-048 POC

最新Apache Struts2(S2-048, CVE-2017-9791)远程代码执行漏洞刚刚发布,分享一下漏洞验证的POC代码,欢迎大家交流学习,漏洞危害较高,希望大家尽快检...
阅读全文
dmsec

xiaocms 审计笔记

转自基友 XXOO5 周末在家刚吃完晚饭,基友 DM 叫我一起来审计 xiaocms系统,也不知道他是受到啥刺激了。正好,除了 Code Review 公司项目代码及框架代码,未审...
阅读全文

SQL injection 之 (Error injection)

以前觉得报错注入有那么一长串,还有各种concat(),rand()之类的函数,不方便记忆和使用,一直没怎么仔细的学习过。这次专门学习了一下,看了一些大牛的总结,得到一些经验,特此...
阅读全文
dmsec

SQL injection 之 (Blind injection)

为盲注?盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从background-1...
阅读全文

SQL injection 之(Secondary injection)

这种注入方式一般是在如下情况出现时发生:为了预防SQL注入攻击,而将输入到应用程序中的某些数据进行了“转义(escape)”,但是这些数据却又在“未被转义(Unescaped)”的...
阅读全文