9月份所有文章 | CN-SEC 中文网

web安全---Token

Token，就是令牌，最大的特点就是随机性，不可预测。一般黑客或软件无法猜测出来。那么，Token有什么作用？又是什么原理呢？Token一般用在两个地方:1)防止表单重复提交、2)anti csrf攻...

09月08日安全文章71 views评论

阅读全文

安全文章

第一次手工注入

第一次注入：看到他们黑站感觉很有意思的样子，于是我也玩了一下午，虽然都是些狠狠狠简单的东西，不过还是记录下来啦。虽然和我现在做的没啥关系，不过，，，挺好浏览器的“工具”——“internet选项”——...

09月08日83 views评论

阅读全文

安全文章

浅谈web安全之手工检测sql注入以及获得信息

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。检验是否可以注入 and 1=1 正常 and 1...

09月08日41 views评论

阅读全文

安全漏洞

【漏洞预警】WebLogic高危漏洞预警（CVE-2019-2891、CVE-2019-2890）

2019年10月16日，飓风安全应急响应中心监测到Oracle官方发布安全公告，披露WebLogic服务器存在多个高危漏洞，包括反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限，风险...

09月08日79 views评论

阅读全文

安全漏洞

【漏洞预警】WebSphere远程代码执行漏洞（CVE-2020-4450）

近日，飓风安全监测到国外某安全研究团队披露关于CVE-2020-4450 WebSphere 远程代码执行漏洞相关分析详情。漏洞描述WebSphere Application Server 是一款由I...

09月08日191 views评论

阅读全文

安全文章

etherscan点击劫持漏洞

点击蓝字关注我们01漏洞描述部署合约代币时，符合ERC20标准的情况下，symbol和name自定义，可嵌入a标签覆盖原本的标签。在用户访问点击页面内的合约名字，可以劫持至任意...

09月08日66 views评论

阅读全文

安全新闻

网络间谍依然健在：APT32对全球企业的威胁（海莲花）

现在被Fireeye命名为APT32（OceanLotus海莲花组织）的网络间谍行动,正在对横跨多个行业的私人企业和外国政府，异议人士和记者进行入侵。Fireeye评估APT32利用独特且功能全面的恶...

09月08日286 views评论

阅读全文

安全文章

红队冒充乙方供应商让IT客服安装后门，蓝队反思了这些

2021年4月22日结束了历时15天的攻防演练，演练过程中，红蓝双方可谓是斗志斗勇。红队开始各种秀肌肉，对外披露掌握各种0day。尤其是最后几天，爆出来的谷歌浏览器的新CVE漏洞，依然是记忆犹新的。整...

09月08日57 views评论

阅读全文

云安全

网络安全规划的七个现实问题

从SolarWinds后门到微软Exchange漏洞，重大黑客事件层出不穷；向云端迁移？安全左移？购买最新的XDR和欺骗工具？技术和网络安全行业总是容易受到市场炒作的影响，但这些举动真的让企业更安全了...

09月08日57 views评论

阅读全文

安全文章

使用OffensiveNim绕过Windows安全保护机制

在这篇文章中，我要介绍的是我前一段时间遇到的一个问题，以及如何绕过Constrained Language Mode和Applocker使用通用技术来处理这种情况。这篇文章中没有太多新技术，所用的技术...

09月08日81 views评论

阅读全文

安全工具

GUI版-AWVS13批量扫描工具

这是一个基支持于Acunetix Web Vulnerability Scanner 13、14（AWVS13、14）扫描引擎的辅助软件。基本实现了在抛弃WEB界面的情况下，实现漏洞扫描等绝大部分重要...

09月08日447 views评论

阅读全文

安全漏洞

Nday实战Apache Flink 目录遍历漏洞 CVE-2020-17519

欢迎关注公众号：24h进德修业。一名普通的白帽子，维护着一个既讲技术又有温度的原创号，一如既往地学习和分享，希望大家在紧张而忙碌的生活中可以在这里安静的学习，前行的道路上感谢有您的关注与支持。漏洞描述...

09月08日69 views评论

阅读全文

web安全---Token

第一次手工注入

浅谈web安全之手工检测sql注入以及获得信息

【漏洞预警】WebLogic高危漏洞预警（CVE-2019-2891、CVE-2019-2890）

【漏洞预警】WebSphere远程代码执行漏洞（CVE-2020-4450）

etherscan点击劫持漏洞

网络间谍依然健在：APT32对全球企业的威胁（海莲花）

红队冒充乙方供应商让IT客服安装后门，蓝队反思了这些

网络安全规划的七个现实问题

使用OffensiveNim绕过Windows安全保护机制

GUI版-AWVS13批量扫描工具

Nday实战Apache Flink 目录遍历漏洞 CVE-2020-17519

在线咨询

微信