上传 - 第 6 | CN-SEC 中文网

先知文章

LightCMS 文件上传&&phar反序列化rce漏洞复现 - j1ang

LightCMS 文件上传&&phar反序列化rce漏洞复现写在前面在这次红帽中有一道这样的题，审的时候看到有文件上传，但是存在白名单限制，laravel6是有反序列化漏洞的，想到...

12月31日211 views评论

阅读全文

先知文章

记一次授权渗透测试（2） - 喜欢吃蛋炒饭

直接切入正题 Fofa搜索目标资产：host="xxx.xx"，发现一个网站，界面比较简单，可以进行注册。注册之后，来到个人信息界面，这里尝试一下头像上传处，能否getshell。没有对文件后缀做...

12月31日73 views评论

阅读全文

先知文章

文件上传bypass安全狗 - drunkmars404

写在最前先知技术社区独家发表本文，如需要转载，请先联系先知技术社区或本人授权，未经授权请勿转载。前言我们知道WAF分为软WAF，如某狗，某盾等等；云WAF，如阿里云CDN，百度云CDN等等；硬W...

12月31日94 views评论

阅读全文

先知文章

记一次从废弃系统入手到内网漫游 - 带呆毛丶

记一次从废弃系统入手到内网漫游 0x01 前言没怎么打过内网的菜鸡，大佬绕道（逃 0x02 入口首先是主站，测试了下没发现上面可疑的点然后扫了下子域名和旁站发现一个bbs网站，看样子是废弃了很...

12月31日70 views评论

阅读全文

先知文章

记一次授权实战 - 一只发黑的苹果

0x1前言好久没写文章了，写一下最近的一个实战，仅供笔者记录与学习 0x2前期信息搜集 IP，端口，whois，目录扫描这些就不多说了，做是做了，虽然没啥用。记录一下这次的一些不一样的信息搜集。首先...

12月31日69 views评论

阅读全文

filesupload小结 - 进击的肖恩123

WEB安全-上传漏洞 [TOC] 1.什么是上传漏洞 web应用上有一些上传文件或者图片的功能点，因未作严格安全限制，导致可以上传恶意代码或者魔改文件，getshell。 2.文件上传漏洞如何查找及判...

12月31日先知文章37 views评论

阅读全文

安全文章

渗透测试之劫持国外某云BucketName

首发先知社区链接：https://xz.aliyun.com/t/10050好兄弟写的，求有账号的师傅点赞 0. 起...

12月22日127 views评论

阅读全文

微信小程序安全需求基线

微信小程序作为一款轻量级的应用，因其有着较强的灵活性，开发成本低，推广裂变快等特点，在很多领域得到广泛的应用。本文基于小程序在电商领域的应用场景，将常见的安全问题进行分析汇总，整理成安全需求基线，以期...

12月17日移动安全152 views评论

阅读全文

安全新闻

PyPI危机：恶意软件包下载超3万次、平台再曝GitHubActions高危漏洞

近日，Python的官方第三方软件存储库PyPI中发现了新的恶意库——能够在受感染设备上提取信用卡号和建立后门。为此，8个含有恶意代码的相关Python软件包快速从PyPI门户网站上被删除，但即便如此...

12月16日150 views评论

阅读全文

安全文章

ThinkPHP5.1文件上传漏洞攻击与漏洞修复攻防实验

ThinkPHP5.1文件上传漏洞攻防实验，基于最新版的ThinkPHP V5.1.41 LTS做的攻防实验。实验目的：市面上基于ThinkPHP5.1开发的程序存在getshell高危后门很多没有维...

12月15日4,384 views评论

阅读全文

代码审计

PHP编码安全：上传文件安全

转自：计算机与网络安全在Web系统中，允许用户上传文件作为一个基本功能是必不可少的，如论坛允许用户上传附件，多媒体网站允许用户上传图片，视频网站允许上传头像、视频等。但如果不能正确地认识到上传带来的风...

12月11日134 views评论

阅读全文

安全开发

聊聊 Jmeter 如何并发执行 Python 脚本

这是「进击的Coder」的第 522 篇技术分享作者：星安果来源：AirPython“ 阅读本文大概需要 9 分钟。 ”1. 前言最近有小伙伴后台给我留言，说自己用 Django 写了一个大...

12月08日145 views评论

阅读全文

在线咨询

微信