代码 - 第 7 | CN-SEC 中文网

xss原理与防范措施

XSS（跨站脚本攻击）的原理主要基于恶意攻击者在web页面中插入恶意的script代码。这些代码在用户浏览该页面时会被执行，从而达到攻击用户的目的。具体来说，XSS攻击得以实施的关键在于服务器对用户提...

03月11日安全百科30 views评论

阅读全文

代码审计

使用太阿（Tai-e）进行静态代码安全分析

概述 Tai-e是针对java的静态程序分析框架，支持包括指针分析、数据流分析、污点分析在内的诸多静态程序分析。由于Tai-e并非专门用来做静态代码安全分析，所以并非开箱即用，在实际安全分析中使用有许...

03月09日80 views评论

阅读全文

安全百科

利用条件竞争突破优惠券仅能使用一次的逻辑限制

作者：zkaq-杳若 Portswigger练兵场之条件竞争 🦄条件竞争-突破一次逻辑限制 Lab: Limit overrun race conditions 🚀实验前置必要知识点利用条件竞争有概...

03月08日22 views评论

阅读全文

安全新闻

【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199

漏洞描述:GitLab是一个开源的代码托管平台,用于代码管理和协作,CODEOWNERS是GitLab中的一个功能,允许项目维护者指定可以批准代码更改的人员,该功能旨在提高代码审核的安全性，并确保只有...

03月08日37 views评论

阅读全文

安全新闻

低代码在平台类网络安全产品中的应用实践

点击上方蓝色字体关注，了解更多网络安全知识引言近年来，随着网络攻击和安全威胁的不断升级，网络安全成为了企业和组织不可忽视的关键议题。为了有效应对这一挑战，各类网络安全产品应运而生。在产品的研发过程中，...

03月08日35 views评论

阅读全文

安全新闻

VMware修复多个严重的ESXi 沙箱逃逸漏洞

本周二，虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。 VMware 公司发布了四个漏洞...

03月07日60 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-03-06 机器学习的暴胀理论

在宇宙学中有个“暴胀理论”（Inflation Theory），通俗地讲就是宇宙大爆炸后不到一秒钟，经历了一次快速膨胀的过程，使得宇宙的尺度在极短的时间内以指数级增长，从而解决了宇宙学上的一些难题。今...

03月07日12 views评论

阅读全文

安全文章

Nodejs中的VM2沙箱逃逸利用方式探讨

在Node.js中，我们可以使用vm模块创建一个沙箱环境，用于执行不受信任的代码。然而，原始的vm模块存在一些隔离功能上的缺陷，并不能完全满足安全性的需求。为了解决这个问题，Node.js进行了升级，...

03月06日39 views评论

阅读全文

安全文章

webshell检测引擎对抗思路

一、引擎的检测思路(个人理解) 静态：通过样本库，正则匹配规则库等等进行匹配，检测是否命中规则。动态：污点标记：常见的传参方式都会被标记为污点入口，如POST，GET。例如(PHP)：<...

03月05日39 views评论

阅读全文

安全百科

网络安全工程师必知的100+文件类型

一、可执行文件 1. .exe（Executable）: Windows可执行文件格式，包含计算机程序的二进制代码，可在Windows系统上运行。 2. .msi（Microsoft Installe...

03月04日31 views评论

阅读全文

未分类

cnvd通用型漏洞挖掘思路-从逻辑漏洞到拒绝服务漏洞

点击「蓝色」字体关注我们！用鹰图语法找了波网络设备的相关词汇然后找到了个智能无线管理平台通过祖传弱口令admin admin进入之后就是测试相应功能点,最终没有找到有SQL注入的参数和RCE的...

03月03日35 views评论

阅读全文

安全文章

某流量躲避webshell诞生记

0x00 背景朋友发的，乍一看内容，挺复杂，当时想着可以手动把注释删除一下，应该就能看到原始代码了，挺繁琐的就没动手。<?php /*K*/$CF/*B*/='c'./*exit();*/""....

03月03日18 views评论

阅读全文

xss原理与防范措施

使用太阿（Tai-e）进行静态代码安全分析

利用条件竞争突破优惠券仅能使用一次的逻辑限制

【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199

低代码在平台类网络安全产品中的应用实践

VMware修复多个严重的ESXi 沙箱逃逸漏洞

G.O.S.S.I.P 阅读推荐 2024-03-06 机器学习的暴胀理论

Nodejs中的VM2沙箱逃逸利用方式探讨

webshell检测引擎对抗思路

网络安全工程师必知的100+文件类型

cnvd通用型漏洞挖掘思路-从逻辑漏洞到拒绝服务漏洞

某流量躲避webshell诞生记

在线咨询

微信