服务器端 | CN-SEC 中文网

安全新闻

网安原创文章推荐【2025/6/11】

2025-06-11 微信公众号精选安全技术文章总览洞见网安 2025-06-11 0x1 PHP基础-语法&变量风铃情报站 2025-06-11 16:49:31 本文详细介绍了PHP编程语...

06月12日15 views评论

阅读全文

安全文章

电商网站 SSTI 漏洞利用：专业攻略

步骤 1：初步探索和帐户创建为了开始评估，我在网站上创建了一个帐户，并导航到个人信息部分。此部分有多个输入字段，包括称谓、名字、姓氏、出生日期和电子邮件地址。我主要关注的是姓氏字段，因为它似乎接受了...

06月08日6 views评论

阅读全文

企业安全

企业内部安全漏洞修复流程的建立与思考（其三）

最近因为护网的工作原因比较忙，再加上一些其他事情，更新下来了，现在忙里偷闲，继续针对漏洞的事情，进行分享。3.漏洞修复具体方案3.1补丁修复笔者这里主要接触到的漏洞修复方案主要是涉及补丁修复、代码修复...

06月06日12 views评论

阅读全文

程序逆向

恶意软件剖析：StealC v2

研究 StealC 是著名的用 C++ 编写的窃取程序之一，自 2022 年以来一直活跃。2025 年 4 月，在 StealC v2 版本发布后，开发者宣布仅以 5 美元的价格出售第一版源代码的 3...

05月27日23 views评论

阅读全文

安全文章

Chisel解密：基于Zeek的检测规则开发与调试踩坑实录

Chisel工具介绍工具概述Chisel是一款轻量级的，基于HTTP协议传输的快速TCP/UDP隧道工具，通过SSH实现安全加密，采用GO语言编写。其客户端和服务器端集成于同一个可执行文件中，服务器端...

05月26日31 views评论

阅读全文

安全漏洞

【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】 POC

0x00写在前面本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！ 0x01漏洞介绍Memos是Memos开源的一个具有知识管理和社交功能的开源自托管备忘录中心。 Me...

05月14日39 views评论

阅读全文

移动安全

通过CE固定小程序动态密钥后自动化加解密|挖洞技巧

0x01 前言项目中遇到一个小程序，每次请求都动态生成AES密钥，请求包和响应包都是用AES加密。最开始的思路是通过重新打包小程序，把密钥设置为固定值，但这个小程序有做完整性检测，会报告...

05月12日34 views评论

阅读全文

安全文章

Microsoft Telnet 客户端 MS-TNAP 服务器端身份验证令牌漏洞（完整版复现）

01前言Hacker Fantastic 发布的报告揭示，Microsoft Telnet Server 存在严重的零点击远程身份验证绕过漏洞。该漏洞利用 Microsoft Telnet 身份验证协...

05月09日20 views评论

阅读全文

安全文章

SSTI 模板注入漏洞

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。请大家关注公众号支持，不定期有宠粉福利Par...

04月28日13 views评论

阅读全文

安全文章

赏金猎人 | 利用 Web3 的隐藏攻击面：Netlify Next.js 库上进行XSS攻击

前言随着 Phantom、Metamask 和 Coinbase Wallet 等 Web3 浏览器扩展程序的推出，越来越多的看似“静态”的网站允许用户直接从浏览器与以太坊和 Solana 等区块链网...

04月23日26 views评论

阅读全文

安全新闻

亚马逊云遭大规模勒索攻击：攻击者掌握数千密钥

在一场勒索软件运动中，一个包含1200多个唯一亚马逊网络服务（AWS）访问密钥的大型数据库被收集并利用。暴露的AWS S3存储桶的管理员发现，他们的文件被加密了，只有一份要求用比特币支付的勒索信。然而...

04月23日23 views评论

阅读全文

安全新闻

被忽视了四年的Next框架漏洞CVE-2025-29927

几天之前（2025年3月21日），Next.js开发框架被爆出存在一个身份验证绕过检查的漏洞，漏洞编号是CVE-2025-29927，漏洞的报告者是Allam Rachid（zhero;）和All...

03月25日11 views评论

阅读全文

在线咨询

微信