框架 - 第 20 | CN-SEC 中文网

安全文章

巧用可变函数绕过 CVE-2020-15148 限制

更多全球网络安全资讯尽在邑安全前言本来之前爆出这个反序列化链的时候，感觉这个反序列化的链子和Lavarel爆的链子有异曲同工之妙，所以本着复现的想法整一下，然后发现了几个绕过的姿势。拿出来和师傅们交流...

10月15日281 views评论

阅读全文

安全开发

express框架一些渗透技巧

这是酒仙桥六号部队的第 87 篇文章。全文共计668个字，预计阅读时长3分钟。前言在某个行业hw中的一次红蓝对抗，被waf封的头皮发麻。在反序列化打不进去，...

10月12日5,547 views评论

阅读全文

代码审计

Yii2框架Gii模块 RCE 分析

利用周末时间分析了Yii2框架的一个RCE漏洞，利用了框架可以写PHP模板的功能，控制写入的内容为恶意代码，实现对指定的文件写入php 命令执行语句，调用PHP从而获取系统权限。 ...

09月24日391 views评论

阅读全文

安全开发

我们离得开 Spring 框架吗？

后端程序员，尤其是 Java 后端程序员，离得开 Spring 框架吗？显然，答案是否定的。这些年，Spring 早已成为 Java 后端开发事实上的行业标准。无数大厂选择 Spring 作为基础的开...

09月22日218 views评论

阅读全文

补天 9 1 9 情报分享

1厂商漏洞跟进 2020年09月19日，奇安信继续跟进各厂商漏洞，汇总各类漏洞如下：9月19日更新漏洞：1.Yii2框架反序列化远程命令执行漏洞（更新） ...

09月19日安全新闻340 views评论

阅读全文

安全漏洞

CVE-2020-15148 Yii框架反序列化RCE利用链 exp

简介如果在使用yii框架，并且在用户可以控制的输入处调用了unserialize()并允许特殊字符的情况下，会受到反序列化远程命令命令执行漏洞攻击。该漏洞只是php 反序列化的执行链，必须要配合uns...

09月18日1,665 views评论

阅读全文

安全文章

Pocsuite3的安装和使用及poc代码的学习

点击蓝字关注我们吧！简介：Pocsuite 是由知道创宇404实验室打造的一款开源的远程漏洞测试框架。你可以直接使用 Pocsuite 进行漏洞的验证与利用；你也可以基于 Pocsuite 进行 ...

09月10日1,757 views评论

阅读全文

安全文章

如何绕过Play框架中的CSRF保护（CVE-2020-12480漏洞）

我会在这篇文章介绍一个影响Play框架的漏洞，此漏洞允许在特定配置下绕过完整的跨站点请求伪造(CSRF)保护。play 框架是一个full-stack（全栈的）Java Web的应用框架，包括一个简单...

09月04日354 views评论

阅读全文

逆向工程

2020全国大学生信息安全竞赛Online Web题解

0x00 前言周末参加了一下国赛，有两年没参与了，还是一如既往的“吓人”。0x01 babyunserialize题目存在源码泄露：http://eci-2ze0loaxjkuesryhroqr.cl...

09月02日330 views评论

阅读全文

安全开发

Threat Hunting参考框架

Threat Hunting从Threat Hunting框架开始！ -- Threat Hunting框架是建立Threat Hunting计划的基础。 ...

09月01日391 views评论

阅读全文

安全开发

五大自动化测试的Python框架

自2018年被评选为编程语言以来，Python在各大排行榜上一直都是名列前茅。目前，它在Tiobe指数中排名第三个，仅次于Java和C。随着该编程语言的广泛使用，基于Python的自动化测试框架也应运...

08月31日211 views评论

阅读全文

安全工具

5 个开源的 Java IDE 工具

导读：Java IDE 工具提供了大量的方法来根据你的独特需求和偏好创建一个编程环境。　　　　　　　本文字数：2583，阅读时长大约：4分钟https://linux.cn/a...

08月23日179 views评论

阅读全文