高质量技术文摘,安全面试经验分享尽在 # 掌控安全EDU #今天看到了某家厂商的Webshell检测引擎,实测效果还可以,确实把PHP Webshell检测这个难题实质上地推进了一步。我在八月的KCo...
ThinkPHP框架学习之基础篇
最近梳理几个PHP框架,ThinkPHP在渗透测试项目中还是有可能遇得到(最近在梳理公司内外部资产就看到其身影),先学习其基础使用,本篇算是水文吧,有错误之处欢迎指出。0x1、ThinkPHP概述Th...
软件供应链检测工具现状分析
一. 软件供应链 1.1 软件供应链漏洞 Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。Bla...
你猜我猜不猜的出你的强口令
免责声明 本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担...
记一次渗透中的Password加密爆破过程
这是在红队行动中遇到的一个网站。网站前端对登录密码进行了加密,由于加密方式不是常见的MD5,无法直接使用Burp的普通爆破模式进行破解。下面是这个网站的渗透过程,与师傅们分享一下。 找到目标后台 首先...
基础速查-状态码
HTTP状态码简介一:http状态码是什么意思HTTP状态码(英语:HTTP Status Code)是用以表示网页服务器超文本传输协议响应状态的3位数字代码。它由 RFC 2616 规范定义的,并得...
【漏洞预警】Smartbi 登录代码逻辑漏洞
漏洞描述:Smartbi 登录代码存在逻辑缺陷,攻击者可利用该漏洞对目标系统进行攻击,最终造成敏感信息泄露。 影响版本:Smartbi >= V9缓解方案:建议用户避免将该系统开放至...
Gentoo Soko 中存在多个严重的SQL注入漏洞,可导致RCE
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Gentoo Soko 中存在多个SQL注入漏洞,可导致攻击者在易受攻击系统上远程执行代码。SonarSource 公司的安全研究员 Th...
Fortinet 修复严重的 FortiNAC 远程命令执行漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Fortinet 公司更新零信任访问解决方案 FortiNAC,修复可被用于执行代码和命令的严重漏洞CVE-2023-33299。Fort...
记一次安卓测试多限制绕过
app使用某加固企业版,几乎所有方法的实现都在so层中,hook目标方法时存在Didn't find class错误,上一篇文章中已经讲过了root检测绕过和抓包相关的知识点在这篇文章中相关内容不在陈...
文件包含漏洞详解
文件包含漏洞文件包含漏洞(File Inclusion Vulnerability)是指应用程序中存在的一种安全漏洞,攻击者通过利用该漏洞可以在应用程序中执行任意代码。文件包含漏洞通常出现在动态网页中...
源代码安全之自动化扫描工具Checkmarx
源代码安全之自动化扫描工具Checkmarx 前言 "安全左移"是指在软件生命周期的早期阶段采取预防措施来解决安全问题,以减少在生产环境中解决安全风险所需的时间、金钱等成本,并避免更大的安全风险,它已...
95