页面 - 第 2 | CN-SEC 中文网

安全文章

0基础入门代码审计-4 XSS

0x01 漏洞描述跨站脚本攻击（Cross Site Script）是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。跨站脚本攻击有以下攻击形式： 1、反射型...

08月06日20 views评论

阅读全文

安全漏洞

Openfire 身份认证绕过漏洞复现(CVE-2023-32315)

Openfire简介 Openfire是根据开源Apache许可证授权的、采用Java编程语言开发的实时协作（RTC）服务器。XMPP Openfire使用即时通讯开放协议，安装和使用都非常简单，并利...

08月05日76 views评论

阅读全文

应急响应

关于安全小天地博客网站的两次应急响应

免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

08月05日38 views评论

阅读全文

安全文章

某攻防演练｜从404页面到接管阿里云

打比赛刷分最快的办法就是，扫资产，应该是废话指纹识别，Ehole（可能有点过时了）框架shiro，jeecg等等其次就是用一些集成工具，比如灯塔，ScopeSentry，TscanPlus拿到中间件就...

08月05日27 views评论

阅读全文

安全新闻

攻击者劫持Facebook页面用于推广恶意AI照片编辑器

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。趋势科技的研究人员发现的这一恶意...

08月02日9 views评论

阅读全文

安全文章

【漏洞实例】2400美元的命令注入

漏洞发现：我选择的目标是管理员登录页面，在检查Wappalyzer后，我注意到它是用PHP编写的。我首先想到的是在登录页面上测试SQLi，但没有成功。在下一步中，由于我们的目标有一个文档根目录，我开...

08月02日17 views评论

阅读全文

HW&HVV

HW案例：一次金融目标供应链+社工通关

一、背景介绍金融行业的攻防演练早已超越了仅仅通过1/Nday漏洞简单扫描就能突破边界的阶段，现在社工攻击和供应链攻击已成为常见的攻击手段。本文介绍了一次演练项目，通过结合供应链和社工攻击，绕过安...

07月28日173 views评论

阅读全文

安全工具

蓝队猴子们的福利-自动切换页面

蓝队猴子福利来了，很多师傅有时候一次要负责多台安全设备，每隔几秒都要切换观看一下。下面有两个脚本，第一个脚本是自动切换页面，运行后直接解放双手，打开浏览器，然后鼠标点一下浏览器，就会...

07月23日15 views评论

阅读全文

安全工具

Next.js 和缓存中毒：黑洞探索

介绍为了寻找挑战、零日漏洞和赏金，我专注于广泛使用的软件，以寻找有趣的缓存中毒案例。我的注意力很快转向了Next.js，这是一个基于 React 的开源 JavaScript 框架，由 Vercel...

07月10日105 views评论

阅读全文

安全文章

某咖啡站点通过IDOR接管6k美元的账户

在浏览某咖啡站点时，我注意到一个页面加载了来自第三方网站的内容。让我们称此网站为example.com，以免披露。当我在这个网站上做一些研究时，我在example.com/starbucks目录中看到...

07月08日10 views评论

阅读全文

安全新闻

大多数Passkey容易受到AitM攻击

Passkey（通行密钥）是一种流行的无密码技术，多用于验证用户对云托管应用程序的访问。尽管Passkey被寄予厚望，号称密码终结者，但却容易受到中间对手（AitM）攻击。根据eSentire的一项研...

07月04日22 views评论

阅读全文

0基础入门代码审计-4 XSS

Openfire 身份认证绕过漏洞复现(CVE-2023-32315)

关于安全小天地博客网站的两次应急响应

某攻防演练｜从404页面到接管阿里云

攻击者劫持Facebook页面用于推广恶意AI照片编辑器

【漏洞实例】2400美元的命令注入

HW案例：一次金融目标供应链+社工通关

蓝队猴子们的福利-自动切换页面

推荐一款开源百度网盘批量转存、分享和检测工具，方便大家收集资源

Next.js 和缓存中毒：黑洞探索

某咖啡站点通过IDOR接管6k美元的账户

大多数Passkey容易受到AitM攻击

在线咨询

微信