2021年所有文章 | CN-SEC 中文网

安全文章

【漏洞分析】hsycms 存储型XSS漏洞分析

一、漏洞描述：在prevNext()函数中，直接将接收到的传参，没有经过任何的过滤，直接作为where条件带入执行，从而造成SQL注入漏洞。二、漏洞分析过程：定位到漏洞代码：/app/index/co...

09月29日321 views评论

阅读全文

未分类

【攻击意图评估：总集篇】手把手教你搭建告警筛选系统

一、前情提要在前三篇文章（【攻击意图评估：序】误报太多？谈海量告警筛选、【攻击意图评估：一】业界难题？谈自动化筛选关键告警的可行性、【攻击意图评估：二】AI不好用？融入专家知识的告警筛选实战）中，我们...

09月29日115 views评论

阅读全文

未分类

TLS-Poison 攻击方式在真实CTF赛题中的利用实践

微信又改版了，为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面～PS: 在阅读本文前，建议您掌握相关TLS Poison知识，本文不再详...

09月29日113 views评论

阅读全文

未分类

Spring Data Commons 远程命令执行漏洞

漏洞简介： Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的...

09月29日74 views评论

阅读全文

未分类

自动车道保持系统功能安全评估（一）

本文摘自NHTSA（美国高速公路安全管理局）发布的一篇技术报告：Functional safety assessment of an automated lane centering system (...

09月29日327 views评论

阅读全文

安全文章

漏洞复现-酒店宽带运营系统RCE

免责声明：由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本文作者不为此承担任何责任。切勿用于未授权测试！本文主要来自日常学习记录！FOFA语句：title=...

09月29日603 views评论

阅读全文

安全文章

SQL注入笔记的随笔

简介:SQL Injection程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行...

09月29日74 views已关闭评论

阅读全文

安全闲碎

数据库基础学习

数据库学习01 Mysql数据库的基本操作数据库的基本操作1234567891011121314151617181920输入 mysql -uroot -p -P3306 -h127.0.0.1退出的...

09月29日79 views已关闭评论

阅读全文

安全文章

CS免杀姿势分享(等待更新)

Cobaltstrike简介CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。...

09月29日567 views已关闭评论

阅读全文

代码审计

熊海CMS1.0代码审计

首先打开Seay审计系统，把我们的xhcms丢进去审计一下，我们这里是要找XSS，我们直接搜索关键字echo，看看有没有可以利用的地方我们这里审计漏洞必须同时满足参数可控和危险函数两个条件，echo...

09月29日319 views已关闭评论

阅读全文

CTF专场

BUU题目练习

[极客大挑战 2019]RCE ME12345678910111213141516<?phperror_reporting(0);if(isset($_GET['code'])){ $code=...

09月29日100 views已关闭评论

阅读全文

安全文章

内网渗透学习笔记

隧道技术SSH隧道ssh 用于登录远程主机, 并且在远程主机上执行命令. 它的目的是替换 rlogin 和 rsh, 同时在不安全的网络之上, 两个互不信任的主机之间, 提供加密的, 安全的通信连接...

09月29日99 views已关闭评论

阅读全文

在线咨询

微信