安全文章 - 第 4 | CN-SEC 中文网

安全文章

从零学习 NoSQL 注入之 Mongodb

本文作者：ca01h（信安之路成长平台百分成员）本文难度虽然不是很大，不过文章相对完整，有理有据，值得分享。0x01 NoSQL 和 MongoDB 简介NoSQLNoSQL 的概念就不赘述了，以下摘...

05月10日80 views评论

阅读全文

逆向工程

封包式游戏功能的原理与实现

游戏外挂按制造难度总共分为下面三类：1、模拟式：通过调用 Windows API 来控制鼠标键盘等，使游戏中的人物进行流动或攻击。优点是实现较为简单，周期短，涉及技术面小。缺点是功能不多，较为单一。按...

05月10日156 views评论

阅读全文

安全文章

从受限的代码执行到任意代码执行

看到信安之路发了一篇关于某 CMS 的审计，之前对这个 CMS 也算是有一点了解吧，看到里面的一处 RCE 提起了我一点兴趣，于是有了下文。受限的代码执行如下，一处刺眼的 eval 代码。这个利用点在...

05月10日59 views评论

阅读全文

安全文章

web 安全核心防御机制

每日学习打卡计划是信安之路知识星球开启的每天读书一小时，挑战打卡一百天的活动，能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书，学习书籍可以自选，主要目的是养成每日读书学习的...

05月10日60 views评论

阅读全文

安全文章

旧洞重提，我能学到什么

本文作者：Z1NG（信安之路荣誉作者）近来在阅读 ThinkPHP5 源码，在阅读到 Request 类文件的时候想起 ThinkPHP5 之前报过两次 RCE 漏洞，于是试着分析了一下这两枚漏洞。在...

05月10日60 views评论

阅读全文

安全文章

如何解析 web 应用程序

05月10日68 views评论

阅读全文

安全闲碎

实战编写 wireshark 插件解析私有协议

在对嵌入式设备进行分析时，有时会遇到一些私有协议，由于缺少对应的解析插件，这些协议无法被Wireshark解析，从而以原始数据的形式呈现，不便于对协议的理解与分析。正好之前看到了介绍用Lua脚本编写W...

05月10日156 views评论

阅读全文

安全文章

初探 Hadoop 集群安全

最近因为某些原因学习接触到了开源的大数据框架:Hadoop，该框架允许使用简单的编程模型跨计算机集群对大型数据集进行分布式处理。它旨在从单个服务器扩展到数千台机器，每台机器都提供本地计算和存储，详细概...

05月10日104 views评论

阅读全文

安全文章

Wecenter 反序列化执行任意 SQL

本文作者：Z1NG（信安之路核心成员）在先知社区里看到一篇漏洞分析文章，个人觉得很赞，于是就动手跟进调试一遍。漏洞分析的时候会踩很多的坑，也试图寻找新的利用点，繁多的代码看的脑壳都疼了，而文章梳理下来...

05月10日109 views评论

阅读全文

安全文章

利用 mstsc 反向攻击思路整理

在实战中，当面对 DMZ 区隔离、堡垒机时，很多直接的正向攻击方式都很难实现。曾经在某次渗透过程中，通过日志分析，已经确认核心内网的 ip 地址，但是发现目标机器只随机开放远端口与被攻击机进行 rdp...

05月10日127 views评论

阅读全文

安全文章

我是怎么找到通用漏洞的

本文作者：少年英雄宋人头﹀﹀﹀本周的某一天，夜班闲着没事干，就在漏洞盒子提漏洞玩（具体细节，不详细说明）1.最开始，找到一个网站，发现存在SQL注入漏洞2.然后随便点进去一个模块，发现网站页面域名发生...

05月10日83 views评论

阅读全文

云安全

互联网用户的隐私不容轻视

特殊时期，适合宅在家里思考，思考安全、思考工作、思考人生！公共安全和互联网信息安全是有共通之处的，这次病毒爆发，人人自危，因为涉及到了人的生命安全，每个人都在害怕生命的消失，因为生命只有一次。互联网信...

05月09日44 views评论

阅读全文

从零学习 NoSQL 注入之 Mongodb

封包式游戏功能的原理与实现

从受限的代码执行到任意代码执行

web 安全核心防御机制

旧洞重提，我能学到什么

如何解析 web 应用程序

实战编写 wireshark 插件解析私有协议

初探 Hadoop 集群安全

Wecenter 反序列化执行任意 SQL

利用 mstsc 反向攻击思路整理

我是怎么找到通用漏洞的

互联网用户的隐私不容轻视

在线咨询

微信