页面 - 第 4 | CN-SEC 中文网

代码审计

两年前的NET通用系统代码审计

java审计都快一年多了，忽然发现公众号里没有net审计文章，又翻了翻电脑乱七八糟的文件，发现了23年1月，初次审计net系统的经历，当时也不会c#，直接反编译开干，最后发现多个方法都存在sql注入，...

04月25日21 views评论

阅读全文

安全工具

TangGo测试平台 | BURP靶场-根据网站登录提示差异枚举存在的账号（基础篇）

阅读须知本文的知识内容，仅供网络安全从业人员学习参考，用于已获得合法授权的网站测试，请勿用于其它用途。请勿使用本文中的工具、技术及资料，对任何未经授权的网站、系统进行测试，否则，所造成的直接或间接后果...

04月25日19 views评论

阅读全文

XSS的payload和绕过总结

XSS简介 XSS（Cross Site Scripting，跨站脚本攻击）是一类特殊的 Web 客户端脚本注入攻击手段，通常指攻击者通过“HTML 注入”篡改了网页，插入恶意的脚本，从而在用户浏览网...

04月22日安全百科133 views评论

阅读全文

安全新闻

暗网简介：RansomHub

勒索软件领域出现了一种新的威胁行为者，他们通过提出声明并通过数据泄露来支持它们，从而脱颖而出。 2024 ...

03月25日111 views评论

阅读全文

安全新闻

Notepad恶意软件穿马甲，建议程序员下载时认真分辨

在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标，这些链接会分发该软件的木马版本，并最终部署Geacon（一种基于 Golang 的 Co...

03月18日47 views评论

阅读全文

xss原理与防范措施

XSS（跨站脚本攻击）的原理主要基于恶意攻击者在web页面中插入恶意的script代码。这些代码在用户浏览该页面时会被执行，从而达到攻击用户的目的。具体来说，XSS攻击得以实施的关键在于服务器对用户提...

03月11日安全百科30 views评论

阅读全文

安全文章

实战 | 通过js找路径来截断文件上传

前言 edu教育证书站之路 0x01 信息收集通过fofa，子域名收集等相关工具搜索域名定位到站点：htps://xx..edu.cn/x/xx/ 0x02 寻找接口通过f12寻找相关的js，发...

03月08日35 views评论

阅读全文

安全新闻

美国FCC职员成为复杂网络钓鱼攻击的目标

网络安全公司 Lookout 警告称，美国联邦通信委员会 (FCC) 员工和加密货币平台已成为使用新颖且先进工具包的移动设备网络钓鱼攻击的目标。使用新工具包，攻击者创建单点登录 (SSO) 页面的副本...

03月08日31 views评论

阅读全文

安全文章

【OSCP模拟-No.42】 hackme: 1靶机渗透测试练习

--------------------------------------------------- 本文阅读时间推荐20min，靶场练习推荐3H -------------------------...

03月05日35 views评论

阅读全文

安全文章

记一次寻找js来文件上传

本文由掌控安全学院 - 不是川北投稿 edu教育证书站之路 0x01 信息收集通过fofa，子域名收集等相关工具搜索域名定位到站点：htps://xx..edu.cn/x/xx/ 0x02 寻找...

03月05日32 views评论

阅读全文

安全百科

文件上传由中危变高危的思路分享

本文首发 Web 安全社区：https://web.sqlsec.com/thread/289 转载请注明出处！场景介绍下面这种图片上传场景经常存在接口未授权且无后缀限制的情况：成功访问页面可以正常解...

03月04日61 views评论

阅读全文

安全工具

CentOS搭建Bitbucket管理平台（下）

1 前言Bitbucket是由Atlassian公司开发，支持Git和Mercurial版本控制系统。Bitbucket提供了代码托管、问题跟踪、持续集成、部署和协作工具等多种功能，还支持私有仓库和团...

03月04日28 views评论

阅读全文