Tips:用友OA产品漏洞_10- 漏洞描述 -用友 U8 OA getSessionList.jsp文件,通过漏洞攻击者可以获取数据库中管理员的账户信息。 - 影响范围 -用友 U8 - FO...
Hvv蓝队应急常问面试题
应急响应常问面试题常见的应急响应事件分类web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗基本思路流程收集信息:收集客...
HW溯源技巧之Github
前言听说这个月马上开始国HW了,给大家公布个泛滥已久的溯源技巧,众所周知很多黑客都喜欢将自己的ID用作微信、博客、Github等平台的昵称,也方便了防守方溯源,降低了溯源成本,本次分享一个通过Gith...
三联套娃AWVS+Burp+XRAY,躺平刷洞(附批量脚本)
免责声明 由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
WebSocket API安全风险解读
xxhzz@PortalLab实验室1. WebSocket协议1.1 简介WebSocket协议是基于TCP的一种新的网络协议。它实现了客户端与服务器全双工(full-duplex)通信,即允许服务...
逆向 Citrix Gateway 发现 XSS 漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:Citrix Gateway是一...
群聊话题 |七问EDR、威胁情报
话题一:七问EDR1.EDR与国家级APT发现2.这么多公司有EDR,从国家层面看3.EDR与合规、隐私保护,GDPR、出海4.往里层埋点和分析技术(本地和云端)|遥测和大数据、机器学习5.EDR与可...
Smartbi 反序列化远程代码执行漏洞 附检测POC
免责声明:本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担...
漏洞复现CVE-2023-32315 Openfire权限绕过利用
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
XXL-JOB分布式任务调度平台RCE
写在前面 今天下午红队内网刚遇到的漏洞,xxl-job本身是由默认弱口令admin/123456,这个系统改过密码是其他途径拿到的通用口令。感觉漏洞性质跟zabbix登录后台...
如何测试加密站点
扫码领资料获黑客教程免费&进群0x1 前言在对一次小程序的测试过程中,发现返回的数据部分是加密的,目前一般通过burpsuite的插件和mitmproxy模块来对数据进行加密解密。今天就来介绍...
某xx大学微信小程序逻辑漏洞 | 干货
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!0x01 前言微信小程序/公众号默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环境搭建到实...
5690