01漏洞描述 医药公司登录系统是一个全面且高效的管理工具,涵盖了销售管理、客户档案管理、药品字典管理等多个核心模块。该系统支持前台零售、批发销售、销售审核等多种销售方式,并具备完善的客户档案管...
CTF-dynamic flag的几种实现方式
0.叠甲省流版:本篇文章主题是动态flag的生成及验证,为了验证自己的想法,出了两道SQL注入的题目,并在里面加入了随机生成flag的实现方法,所以题目本身并没有什么技术含量。我设想的是这两道题集成了...
6大常见的网站安全威胁及防范
随着数字化业务的加速发展,网站安全问题日益凸显。特别是在护网HVV这样的网络安全演练活动即将拉开帷幕之际,我们更需要关注网站安全,了解常见的安全威胁,并采取有效的防御措施。 护网HVV带来的挑战与机遇...
[AOH 031][0day]AI场景下一种新型攻击视角
文章来源于KQsec KQsec Hack the Planet. Have Fun Doing It. Ryze通过其思考尝试黑盒Bypass模型内置限制,在与我复盘分析时,共同研究了kin-ope...
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)什么是SSRF?即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用...
安全的价值与安全度量
前言在一次谈论中被问到了这样一个问题“你认为安全对于企业的价值是什么以及你如何评价你们公司目前的安全状态?”虽然做了好多年的安全,可突然问这样的问题还是有点不知所措,因此就有了这篇文章。安全的价值道哥...
【未公开】万户ezEIP-命令执行-success
免责声明此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!0x01 产品...
智邦国际ERP-sql注入漏洞
声明文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果...
一次简单的golang栈溢出
逻辑分析将附件拖入ida,根据字符串可判断为go语言编写的程序:动态运行发现是编写的一个简易shell,并且需要一个Cert才能正常工作:逆向golang程序时,ida反编译功能基本报废,最好的办法就...
【漏洞预警】Laravel框架limit和offset处存在SQL注入
漏洞描述:Laravel是Laravel社区的一个Web 应用程序框架,同时使用SQL Server数据库和Laravel框架,并且Web应用允许用户输入参数直接传递参数到limit和offset函数...
0基础入门代码审计-8 命令执行
0x01 漏洞描述命令执行是系统使用了可以执行命令的危险函数,但是调用这些函数的参数可控,并没有做过滤或过滤不严格,使攻击者可以通过构造特殊命令字符串的方式将数据提交至Web应用程序中,并利用该方式执...
CISA、FBI要求消除路径遍历漏洞影响
美国网络安全机构 CISA 和 FBI 周四发布了安全设计警报,警告路径遍历软件漏洞被利用来针对关键基础设施实体进行攻击。路径遍历缺陷也称为目录遍历,它依赖于受操纵的用户输入来访问不应访问的应用程序文...
12