周末抽空学习下BlackHat USA 2021的议题,对自己感兴趣的议题学习下。经常记录下,保持对行业动态的关注,有时突然想起来某个思路在外部会议上见过,可以回头查阅下,好多次遇到这种情况。打算先分...
黑帽SEO实战之嵌入网页法
黑帽SEO实战之嵌入网页法1080P超清版公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。如有需要查看超清1080P版视频,可以选用以下方式进行查看。可以访问国外Youtube站点进行...
代码安全:从响应式安全转向主动式安全
漏洞界二八定律,过去20多年来的绝大多数安全事件都是头部那10个软件漏洞造成的。然而,很多企业仍然选择事后补救,得过且过地承受安全事件造成的人员和业务后果。不过,当前一项新的研究为我们指明了由人主导的...
安全基础之常见漏洞原理以及防御方式
网安教育培养网络安全人才技术交流、学习咨询XSSXSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评...
top.location和x-frame-options和xss
“ 菜鸡是可以不用学习的,快去打游戏吧!——鲁迅”今天在测试系统的时候发现了一个有趣的地方,本身这个XSS(反射型的)没啥有趣的,只是想记录下这个知识点。在页面中一段话代码成为关键:if(top.lo...
嘶吼送书 ||《Java代码安全审计:入门篇》
嘶吼送书时间到,学习Java代码安全审计,这本书将会带你快速入门!背景介绍近年来,愈来愈多的安全服务(尤其各类众测和护网活动) 漏洞来自基于Java的各类应用。安全从业者也许对漏洞利用工具的...
源代码防泄密解决方案
通过数据安全隔离技术,在代码服务器以及终端上构建加密的安全区,并以此为基础形成源代码防泄密加密子网。在不影响日常开发工作的前提下,阻止代码泄露、扩散。源代码防泄密解决方案-实现效果1)安全接入只有安全...
JavaScript逆向调试记 —— defcon threefactooorx writeup
defcon 29就这一道Web题目,说实话也没学到啥东西,唯一学到的就是勿钻牛角尖,及时调整策略。此题严格来说算一道逆向题,只不过逆向的目标是混淆过JavaScript,我方法就是硬逆,等过几天看看...
熊海CMS代码审计与漏洞修复
0x00 前言最近学习代码审计,找到一个小型cms审计一下,然后再尝试进行修复。0x01 漏洞总结id漏洞修复1文件包含漏洞√2越权漏洞,登录绕过√3资料处存储型XSS√4登录存在post sql注入...
代码审计相关知识与资料分享
公司越来越大,开发人员也越来越多。每个研发人员的安全素质都不一样,虽然在公司核心项目上可以采取框架层安全防护,但各类新项目太多,无法做到每个项目都使用相同框架,都去集成安全组件。所以对于公司所有的项目...
Netgear SOHO 路由器中的 CVE-2021-40847 缺陷可能允许远程代码执行
更多全球网络安全资讯尽在邑安全 Netgear SOHO 路由器中的 CVE-2021-40847 缺陷可被远程攻击者利用以 root 身份执行任意代码。 咨询公司 GRIMM 的安全专家在小型办公室...
代码审计连载-SQL注入漏洞
在mapper文件中,发现了一个$符号Mybatis配置文件中,使用【#】符号对参数进行预编译,使用【$】是对参数进行拼接,同时我们还要知道:order by无法进行预编译跟下代码,在路由中找到了对应...
95