文章来源;https://www.freebuf.com/articles/web/258988.html前言距离上一篇文章《那些FastJson漏洞不为人知的事情(开发角度)》已经过去三天了,但在我...
文库 | ssrf知识点总结
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全-柚子一.ssrf基础知识ssrf的定义SSRF(Server-Side Request Forgery,服务器请...
文库|python正向写shell实用教程!
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全学员-冰封小天堂0x00:前言正常一个网站分为服务端和客户端,因为是正向的,所以服务端是在目标机器上的,客户端则是...
CS4.0渗透神器源代码提供下载
最近几天,有人称在GitHub发现了一个名为“Cobalt Strike”的文件夹,据称是渗透测试工具Cobalt Strike 4.0的源代码。CobatStrike是一款基于java编写的全平台多...
app安全之反编译(一)
以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过web api服务的方式跟服务...
页面图片验证码测试思路
前言网站在进行登录时,一般都存在验证码,用来防止机器大规模注册,机器暴力破解数据密码等危害。但是验证码也并不是绝对安全的,这与验证码的自身复杂度、生成机制、验证机制、传输流程等都有关系。验证码一旦被绕...
闲鱼服务端架构演进历程
作者 | 万佳 嘉宾 | 巴滕 闲鱼是从阿里巴巴某一茶水间“游”出来的。2014 年 6 月,闲鱼诞生,2 年时间不到,其用户数突破 1 亿。如今,它已经成为国内最知名的闲置交易平台,拥有数亿用户,年...
Thymeleaf 模板注入导致命令执行
亲爱的,关注我吧9/16文章共计2349个词来和我一起阅读吧本文配合:https://github.com/veracode-research/spring-view-manipulation/&nb...
某基金管理有限公司验证码绕过
点击蓝字 · 关注我们01漏洞标题某基金管理有限公司验证码绕过02漏洞类型验证码绕过03漏洞URLhttps://xxxxxxx.xxxxxxxxx.com.cn/pc/h/lo...
安卓捉包教程
点击蓝字,关注我们欢迎转发,请勿抄袭! 作为测试人员,上得了服务端,下得了客户端。因此app渗透测试,那必...
MySQL蜜罐获取攻击者微信ID
前言 前些日子有人问到我溯源反制方面的问题,我就想到了MySQL任意文件读取这个洞,假设你在内网发现或扫到了一些MySQL的弱口令,你会去连吗?原理 MySQL中 load data loc...
MySQL蜜罐获取攻击者微信ID
前言 前些日子有人问到我溯源反制方面的问题,我就想到了MySQL任意文件读取这个洞,假设你在内网发现或扫到了一些MySQL的弱口令,你会去连吗?原理 MySQL中 load data loc...
27