1、概念 RFD,即Reflected File Download反射型文件下载漏洞,是一个2014年来自BlackHat的漏洞。这个漏洞在原理上类似XSS,在危害上类似DDE:攻击者可以通过一个UR...
分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
扫码加圈子获内部资料网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。0x1 前言哈喽师傅们,这篇文章自己写之前先是看了十...
DedeCMS 未授权RCE漏洞原理及影响面分析
2021年9月30日,老外曝光了关于国产知名框架DedeCMS的远程未授权RCE漏洞,江湖救急快速完成了跟踪分析。 过节的被老板叫回来分析漏洞(没有加班费😂),作为一名IT民工真不容易!吐槽归吐槽,活...
Word-RCE漏洞原理分析附POC
前言现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!Microsoft Office 的 wwlib 中的一个漏洞允许攻击者实现 以打开恶意软件的...
Chrome v8 Issue 1203122:IC类型混淆漏洞原理
问题出现场景:假设对象A,其偏移+10的地方有一个属性x,这个属性为数字,同时存在一个B对象,这个对象偏移+10的地方是一个Object对象地址。(v8在性能优化的时候会使用对象地址加偏移的方法来直接...
原创 | 我对Web安全和Web漏洞的理解
什么是Web安全? Web 安全属于网络信息安全的一个分支。WWW (World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和 HTTP 的、全球性的、动态交互的、跨平台的分布式...
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(二)(上传文件,FastCGI,Redis协议,URL Bypass)
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(二)(上传文件,FastCGI,Redis协议,URL Bypass)上传文件题目:这次需要上传一个文件到flag.php了.祝你好运访问内网...
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)什么是SSRF?即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用...
0day 2期-更新第7章:Windows服务漏洞原理讲解
本周更新7.1:理解rpc/com接口漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为...
XXE漏洞原理挖掘
XXE漏洞全称为XML外部实体注入漏洞,它发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行。XXE漏洞触发的点出现在系统可以上传XML文件的位置,...
RFD漏洞原理浅析
基本介绍RFD(Reflected File Download)即反射型文件下载漏洞,2014年在BlackHat中被提出,该漏洞在原理上类似XSS,在危害上类似DDE,攻击者可以通过一个URL地址使...
安全面经 |土拨鼠的应用安全面经(二)
简介漏洞挖掘、利用及修复常规应用漏洞业务逻辑漏洞常用协议漏洞漏洞处置漏洞自动化发现白盒SAST灰盒IAST安全评估与解决方案安全评估安全方案前端安全移动应用安全简介应用安全往往是各家企业都有配置资源建...