安全文章 - 第 11 | CN-SEC 中文网

安全文章

通过Yakit测试SQL注入

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息...

05月19日11 views评论

阅读全文

安全文章

如何使用 Burp Suite Intruder 查找路径分隔符问题

在 Web 应用程序安全测试中，Web 服务器对 URL 中特殊字符的处理方式差异，可能引发网络缓存欺骗、访问控制失效等严重安全问题。下面将详细介绍如何使用 Burp Suite Intruder 工...

05月19日12 views已关闭评论

阅读全文

安全文章

常见的外网突破案例

1、供应链在经历了多年的攻防对抗之后，大量目标单位逐渐认识到安全防护的重要性。因此，他们已采取措施尽可能收敛资产暴露面，并加倍部署各种安全设备。但安全防护注重全面性，具有明显的短板效应，一处出现短板...

05月19日15 views已关闭评论

阅读全文

安全文章

Apache Roller高危漏洞CVE-2025-24859深度解析：会话劫持威胁企业安全

一、漏洞概述CVE-2025-24859 是Apache Roller中披露的高危会话管理漏洞，于2025年4月14日被官方通报。该漏洞允许攻击者在用户修改密码后，通过旧会话维持对系统的控制，直接威胁...

05月19日10 views评论

阅读全文

安全文章

一次获取RCE以及提权到root权限的渗透过程

本文是关于Apache struts2 CVE-2013-2251是由于导致执行远程命令的影响而被高度利用的漏洞。简而言之，通过操纵以“action:”/”redirect:”/”redirectAc...

05月19日23 views评论

阅读全文

安全文章

攻防速写｜一条微信消息，实现客户端持久化攻击

从白宫幕僚到战地记者，即时通讯软件（IM）是无数关键人群不可或缺的沟通工具。无论是WhatsApp、Telegram，还是微信、QQ，它们已经成为现代社会的“数字血管”，承载着数十亿用户的社交、支付与...

05月19日18 views评论

阅读全文

人工智能安全

MCP安全-《MCP暗战三部曲》2：MCP安全吗？

hello，大家好，这里是“恒脑与AI”——AI知识快充，不定期邀请安全研究团队科普安全知识，及时了解最新的AI技术模式。本期作品——《MCP暗战三部曲》，来自研究团队X-Lab，跟随他们，领略一下当...

05月19日19 views评论

阅读全文

安全文章

浏览器js调试寻找加密函数

05月19日11 views评论

阅读全文

安全文章

如何让两个不同的输入生成相同的MD5哈希值？

导语：2012年，一个名为"火焰"的超级病毒席卷中东，它之所以能长期潜伏，竟是利用了MD5算法的致命缺陷——允许不同的文件生成相同的"数字指纹"。今天我们就用"双胞胎DNA检测"的比喻，揭开哈希碰撞的...

05月19日10 views评论

阅读全文

应急响应

busybox在应急中的漏洞排查法

一、busybox基础支撑特性1.静态编译优势不依赖系统动态链接库（如glibc），规避了通过LD_PRELOAD实现恶意动态库劫持的风险提供可信命令执行环境，避免攻击者篡改ls ps netstat...

05月19日14 views评论

阅读全文

安全文章

漏洞研究(9)：XXL-JOB调度中心后台任务执行SSRF漏洞 CVE-2024-24113

组件介绍原理与危害影响版本利用方式加固措施（单选） 5.1 修改默认口令 5.2 限制端口访问1. 组件介绍XXL-JOB是一个分布式任务调度平台，分为调度中心和执行器两部分。在调度中心添...

05月19日13 views评论

阅读全文

安全文章

CPTS Cheat Sheet | 05-文件传输

CPTS认证的Path一共28个模块，官方会贴心的给重要的模块总结常用的命令列表（Cheat Sheet），在学习过程中我也收集了这些文档和字典等资源，现分章节分享给大家，还是老规矩QQ群共享里免费下...

05月19日9 views评论

阅读全文

在线咨询

微信