用户输入 - 第 12 | CN-SEC 中文网

安全文章

RASP攻防中的矛与盾

引言随着第二期阿里云RASP挑战赛的圆满落幕，借此机会，我们今天想和大家聊一聊RASP攻防对抗的思路。SQL语义分析攻防探索防守方视角首先从“防”的视角而言，RASP不同于流量层检测产品，它能够通过H...

03月14日40 views评论

阅读全文

安全文章

实战 | 众测厂商绑定手机处逻辑漏洞-可导致用户密码给修改

文章来源：转载来源语雀文档，非P喵呜作者本人投稿如有侵权，请联系删除0x01 漏洞描述1网站铭感操作没有添加 csrf_token2并且手机绑定流程可被绕过3用户可被钓鱼修改手机号码,从而导致用户密码...

02月10日24 views评论

阅读全文

安全文章

WEB常见漏洞之命令执行（基础原理篇）

免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

01月31日33 views评论

阅读全文

SQL注入【一】——SQL介绍与基础

0x01 原理介绍当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中...

11月11日安全博客27 views评论

阅读全文

安全文章

webshell绕过案例

背景在研究基于netfilter的后门时，我想到如果webshell可以创建af_packet、af_netlink等socket，就可以不使用$_POST、$_GET等方式获取用户输入，因为某些we...

11月06日42 views评论

阅读全文

程序逆向

一次踩坑无数的栈溢出实验 | 技术精选0139

本文约1300字，阅读约需3分钟。由于不想做点鼠标的猴子，于是就自己尝试了一下利用，结果拐弯就是大坑——不是在踩坑的路上，就是在坑里摸爬滚打。幸亏有大佬指点，不然还在坑里。1栈溢出原理程序内存栈是从高...

07月27日69 views评论

阅读全文

安全漏洞

【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

1漏洞概述美创安全实验室监测到Spring Data MongoDB SpEL表达式注入漏洞，漏洞编号：CVE-2022-22980，漏洞等级：高危，漏洞评分：8.2。当使用@Query或@Aggre...

06月30日71 views评论

阅读全文

安全漏洞

Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

0x01 Spring Data MongoDBSpring Data MongoDB可以提供Java开发人员在使用MongoDB时的效率。它使用了熟悉的Spring概念，例如用于核心API的模块类，...

06月21日104 views评论

阅读全文

安全闲碎

找到最奇怪的错误：10款顶级模糊测试工具

在创建应用程序时，程序员会花费大量时间预测用户将如何使用他们的软件以及这些操作会产生什么样的效果。优秀的程序员不仅有着简洁、高效的编码质量，还要考虑到发生意外的情况。但没有人能够预测用户所有的可能操作...

05月17日66 views评论

阅读全文

read,source,mapfile命令与shell编程

Bash 是一种相当强大的编程语言，也很容易上手。这里有一些鲜为人知但很有用的 bash 命令，它们将有助于使你编写的 shell 脚本更清晰、更易于维护。毕竟，它几乎是你打开终端时最经常看到的 sh...

05月15日安全文章151 views评论

阅读全文

安全漏洞

Apache Struts2系列 | S2-062远程代码执行漏洞

受影响版本Struts 2.0.0 - Struts 2.5.29(一)概括a.强制 OGNL 评估，当对标签属性中未经验证的原始用户输入进行评估时，可能会导致远程代码执行 - 与S2-061相同。b...

04月23日23 views评论

阅读全文

安全开发

python沙箱逃逸之基于flask，jinja2模板的SSTI注入

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~ 2021级 Will1am|python沙箱逃逸之基于flask，jinja2模板的SSTI注入前言 SS...

04月09日19 views评论

阅读全文

RASP攻防中的矛与盾

实战 | 众测厂商绑定手机处逻辑漏洞-可导致用户密码给修改

WEB常见漏洞之命令执行（基础原理篇）

SQL注入【一】——SQL介绍与基础

webshell绕过案例

一次踩坑无数的栈溢出实验 | 技术精选0139

【漏洞通告】Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

找到最奇怪的错误：10款顶级模糊测试工具

read,source,mapfile命令与shell编程

Apache Struts2系列 | S2-062远程代码执行漏洞

python沙箱逃逸之基于flask，jinja2模板的SSTI注入

在线咨询

微信