一、存储型XSS漏洞存储型XSS漏洞是一种在应用程序中发现的常见漏洞,攻击者将恶意脚本代码存储在应用程序的数据库中,然后通过访问这些存储的恶意代码来攻击用户。以下是一个存储型XSS漏洞的示例,假设我们...
Chrome 扩展程序可以从网站窃取明文密码
关键词窃取密码威斯康星大学麦迪逊分校的一组研究人员已将一个概念验证扩展上传到 Chrome 网上应用店,该扩展可以从网站的源代码中窃取纯文本密码。对网络浏览器中文本输入字段的检查表明,支持 Chrom...
0基础入门代码审计-3 sql注入
0x01 漏洞描述 当应用程序将用户输入的内容,拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。攻击者通过控制部分SQL语句,可以查询数据库中任何需要的数据,利用数据库的一些特性,...
XSS漏洞SRC挖掘
前言 Markdown是一种轻量级标记语言,创始人为约翰·格鲁伯(John Gruber)。它允许人们使用易读易写的纯文本格式编写文档,然后转换成有效的 XHTML(或者HTML)文档。这种语言吸收了...
搜狗输入法有严重漏洞
搜狗输入法有严重漏洞2016 年 5 月微博网友 @蒸米 spark 通过网络数据分析工具 Charles 发现百度输入法和搜狗输入法都会记录用户输入的每一个内容,用户输入的内容会被以明文协...
泛微 OA e-cology XXE 漏洞
0x01 漏洞介绍 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业...
【翻译】通过命令提示注入来攻击大语言模型
我最近有幸运参加了Google IO开发者大会,大会发布了许多新产品。其中许多产品对人工智能的关注非常突出,尤其是生成人工智能。 生成式人工智能太令人着迷了,我很兴奋看到能通过将其功能与其他不同产品的...
CTF 《2015移动安全挑战赛》第二题 AliCrackme_2 逆向
一前言路漫漫其修远兮,吾将上下而求索。看雪ctf板块中:二入手点定位安装apk,需逆向寻找正缺的密码:将AliCrackme_2.apk使用jadx打开,从提示信息入手,搜索:校验码校验失败。可定位到...
WEB 安全--深入学习代码执行漏洞(一)
01漏洞简述应用程序在调用一些能够将字符串转换为代码的函数时,如PHP中的eval(),没有考虑用户是否控制这个字符串,造成的代码执行漏洞。命令执行与代码执行漏洞区别命令执行漏洞是可以直接调用操作系统...
九维团队-绿队(改进)| AJ-Report_RCE
前 言AJ-Report是一个全开源的BI平台,在低于V0.9.8.6版本中存在rce漏洞,结合jwt绕过前台漏洞,后台js脚本组合成前台rce漏洞。漏洞已经提交cnvd,CNVD-202...
【小白教程】CTF从入门到入门-01
签到题 https://ctf.bugku.com/challenges/detail/id/1.html flag{BugKu-Sec-pwn!} 送分题,现实里百分之百不会存在类似题...
edusrc证书站逐个击破之某海理工
0x01 前言最近有师傅在后台留言,想咨询edu证书站的一些常规挖掘思路,具体是怎么挖到的,于是有了此篇文章,笔者打算做一个edu系列,把每个证书站的一些挖掘思路分享出来供大家学习交流(切勿...
12