安全文章

泛微ecology8无条件sql注入

漏洞原理ShowDocsImageServlet主要功能是通过图片的id在数据中查询出图片内容并返回,但是查询语句时图片id存在拼接情况,详情见源码: 首先找到一个存在的图片id 爆破一波哈(这两个不...
阅读全文
安全文章

DDE注入(CSV)漏洞原理及实战案例全汇总

在渗透中遇到导出功能时,会如何进行测试?任意文件下载?或者越权查看?很多人很容易忽略的是DDE注入:导出格式为csv,xls时,或许你可以尝试构造这个漏洞,它不会对网站本身产生危害,但会对终端用户造成...
阅读全文
安全职场

面试题目整理

前言:最近和朋友商量好了。一起打算整理,开发和研究一些东西,有些东西陆陆续续会放出来,整理的项目的话也会持续更新。如果对你有用,希望给个关注。5~7月的计划内容整理方面:工具研发相关:①情报测绘的。②...
阅读全文