安全博客 - 第 61 | CN-SEC 中文网

发布 Python 库到 pypi 服务器

准备首先，你需要一个 setup.py 文件这是我一个程序中的例子：portstatfrom setuptools import setup, find_packages from os import...

04月20日安全博客15 views评论

阅读全文

安全博客

运营商劫持造成的风险案例

山东移动在使用3/4G的时候，会在网页中插入一段js，然后在网页右下角显示一个流量球，显示你当前剩余流量，点击流量球还可以办理业务。但是在使用jsonp查询的时候没有进行有效的安全校验，导致用户在使...

04月20日27 views评论

阅读全文

WordPress和Typecho xmlrpc漏洞

一般大家都关注WordPress，毕竟用户量巨大，而国内的Typecho作为轻量级的博客系统就关注的人并不多。Typecho有很多借鉴WordPress的，包括兼容的xmlrpc接口，而WordPre...

04月20日安全博客27 views评论

阅读全文

安全博客

sql注入时case when ... then ... else ...end 的应用

在基于时间的盲注的时候，一般使用的是if语句，如果符合条件就sleep，但是部分不能使用逗号的场景下，还可以使用case when #condition then ... else ... end语句...

04月20日11 views评论

阅读全文

Python urllib HTTP头注入漏洞

已经发在了乌云知识库 http://drops.wooyun.org/papers/16905 总览 Python的urllib库（在Python2中为urllib2，在Python3中为urllib...

04月20日安全博客8 views评论

阅读全文

Redis和SSRF

你以为bind了127.0.0.1就安全了么？本地写文件这个爆出来很久了。原理就是利用Redis的数据持久化。设置持久化文件的名称和路径，然后在Redis中写入文件内容，给Redis发送持久化的命...

04月20日安全博客12 views评论

阅读全文

Django CSRF 防护绕过漏洞分析

原始漏洞链接 https://hackerone.com/reports/26647 使用 Google Analytics 进行 Cookie 注入 Google Analytics 会设置这样的 ...

04月20日安全博客10 views评论

阅读全文

PWNHUB Web第一题writeup

题目地址 http://54.223.46.206:8003/ 首先在HTTP头中可以看到 Server:gunicorn/19.6.0 Django/1.10.3 CPython/3.5.2，引用的...

04月20日CTF专场19 views评论

阅读全文

Python 模板字符串与模板注入

这几年比较火的一个漏洞就是 jinjia2 之类的模板引擎的注入，通过注入模板引擎的一些特定的指令格式，比如{{1+1}}而返回了2得知漏洞存在。实际类似的问题在 Python 原生字符串中就存在，尤...

04月20日安全博客7 views评论

阅读全文

安全博客

前端 MVVM 框架可能出现的安全问题

这些年，AngularJS、React 和 Vue.js 算是前端框架中比较热门的，相对于 jQuery 等框架，有一些不太一样的可能出现问题的点，当然都是集中在 XSS 上。模板注入类似后端模板...

04月20日14 views评论

阅读全文

最近写后端遇到的几个问题

数据库 id 字段溢出某个系统，突然数据库无法插入数据，报错如下 [2017-04-22 23:17:55] - [ERROR] - [utils.api.api:146] - integer ou...

04月20日安全博客6 views评论

阅读全文

测试驱动文档在后端 API 开发中的实践

很多人了解过 Python 的 doctest，是从注释中写测试，我们现在反向思维，从测试生成文档。现状在开头有必要说明一下现在后端 API 的开发模式，这样才能更好的理解遇到的问题。框架: D...

04月20日安全博客4 views评论

阅读全文

发布 Python 库到 pypi 服务器

运营商劫持造成的风险案例

WordPress和Typecho xmlrpc漏洞

sql注入时case when ... then ... else ...end 的应用

Python urllib HTTP头注入漏洞

Redis和SSRF

Django CSRF 防护绕过漏洞分析

PWNHUB Web第一题writeup

Python 模板字符串与模板注入

前端 MVVM 框架可能出现的安全问题

最近写后端遇到的几个问题

测试驱动文档在后端 API 开发中的实践

在线咨询

微信