摘要:最近,Apache Tomcat发布了一个关于信息泄露的漏洞通告,该漏洞被标识为CVE-2024-21733,严重性为重要。以下是该漏洞的详细信息以及受影响版本的缓解方案:漏洞详情:漏洞编号: ...
01月31日29 views评论sec
请求走私
4,660 美元赏金 CVE-2024-21733 Apache Tomcat HTTP 请求走私(客户端异步)
01月31日29 views评论sec
请求走私
01月31日29 views评论sec
请求走私
实战 | 一键自动生成通杀的xss绕过playload
1.漏洞背景 在当今数字化时代,网络安全已成为企业和个人面临的最重要的挑战之一。随着越来越多的业务和交流活动转移到线上,网站和网络应用的安全性变得尤为关键。特别是,跨站脚本攻击(XSS)已经成为对网站...
01月31日20 views评论bypass
xss
同样都是光纤接入设备,OLT和ONT到底有啥区别?
来源:网络技术联盟站 你好,这里是网络技术联盟站,我是瑞哥。光纤通信系统在现代通信网络中扮演着至关重要的角色。为了实现高效、快速的光纤接入,OLT(Optical Line Terminal)和ONT...
01月31日63 views评论用户设备
通信协议
HTTP2请求走私(上)
协议介绍HTTP/2是HTTP协议自1999年HTTP 1.1发布后的首个更新,它由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis(httpbis)工作小...
01月31日10 views评论encoding
标识符
未授权文件上传发现思路 | SRC实战
前言根据月佬对于doc.html与knife4j接口文档的讲解,在某处信息收集打点的时候发现该问题。收集-knife4j语法:图标搜索 + 学校资产通过搜索该图标可以发现knife4j接口文档如何搜索...
01月31日13 views评论文件上传
未授权
SRC挖掘思路及方法
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘难道很适合...
01月31日22 views评论sql注入
xss
绕过某教务系统的评教限制的成绩查询工具
0x01 工具介绍众所周知,果壳的教务系统要查成绩,首先要评教。但讲个笑话,出成绩了→发现没评教→打算去补→发现评价不了……还有一点,评教的主观题强制要求十五字,就很**……虽然有个json的简单方法...
01月31日18 views评论主观题
成绩查询工具
秒懂安全丨什么是网络靶场?
确保“网络安全”是一场没有硝烟的战争。每一场战役的背后,都暗藏着致胜的关键武器。“网络靶场”作为近几年被各国重视和大力建设的“宠儿”,正在这如火如荼的建设和完善中,不断凸显其必要性和重要价值。作为当今...
01月30日22 views评论cyber
网络安全
MSI武器化学习
您的转发就是我更新的动力。简介MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。MSI文件...
01月30日32 views评论action
microsoft
公链自身的应用层漏洞案例浅析
攻防案例WEB UI访问控制基本介绍公链前端Web UI(用户界面)是公链应用层中的一个重要组成部分,它提供了用户与公链应用程序进行交互的界面,公链前端Web UI通常以网页形式呈现,用户可以通过网页...
01月30日19 views评论rpc
身份验证
绕过WAF的5种方法
1. 概述本文将介绍渗透测试人员和安全研究人员用于成功绕过 Web 应用程序防火墙 (WAF) 保护的工具和技术。WAF 是一种网络安全解决方案,用于过滤和阻止恶意 Web 流量。常见的供应商包括Cl...
01月30日安全文章44 views评论绕过waf
防火墙
HTB-Pov(Medium)
知识点:web.config;VIESTATE 反序列化利用;PSCredential;Sedebugprivilege&winlogon。Scan┌──(kali㉿kali)-[~/Desk...
01月30日524 views评论microsoft
payload
5786