库名称简介Chardet 字符编码探测器,可以自动检测文本、网页、xml的编码。colorama 主要用来给文本添加各种颜色,并且非常简单易用。Prettytable 主要用于在终端或浏览器端构建格式...
国科ctf python脚本 ctf常用python库
库名称简介Chardet 字符编码探测器,可以自动检测文本、网页、xml的编码。colorama 主要用来给文本添加各种颜色,并且非常简单易用。Prettytable 主要用于在终端或浏览器端构建格式...
使用古老的 XML 绕过 DOMPurify
这篇文章详细介绍了在使用 DOMPurify 对 XML 文档进行清理时发现的绕过漏洞,并介绍了作者发现的两种新的 XML/HTML 混淆绕过方法。文章解释了 HTML 和 XML 解析规则之间的差异...
Android新型木马'SoumniBot'攻击技巧揭秘
A new Android trojan called SoumniBot has been detected in the wild targeting users in South Korea b...
『红蓝对抗』无文件落地攻击手法
点击蓝字 关注我们日期:2024年04月19日作者:hdsec介绍:总结几种 windows 中常见的无文件落地攻击手法,实际应用中还需结合免杀处理。0x00 前言无文件落地攻击(Fileless A...
ATT&CK - 基于主机的隐藏技术
基于主机的隐藏技术 基于主机的隐藏技术旨在使攻击者在他们采取行动的机器上隐蔽。可以使用二进制文件的静态链接、多态代码、利用文件格式、解析器或自删除代码的缺陷来实现这一点。 检测 可通过常见防御检测(是...
JSON解析不一致性漏洞探究
一背 景JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易 于机器解析和生成。它基于JavaScript语言标准ECMA-262第...
KeyTrap 攻击:一个 DNS 数据包可中断互联网访问
一个域名系统安全扩展 (DNSSEC) 功能中名为 KeyTrap 的严重漏洞,可能会长时间拒绝应用程序的互联网访问。KeyTrap 的编号为 CVE-2023-50387,影响着所有流行的域名系统 ...
Graphql安全问题概述
文章前言GraphQL是一种用于构建API的查询语言和运行时环境,它提供了一种灵活且高效的方式来获取和修改数据,随着GraphQL的流行和广泛采用,我们也需要认识到与其相关的安全问题和挑战,本文将概述...
探秘HTTP解析器的黑暗面:如何利用不一致性制造网络安全漏洞
HTTP 协议在 Web 应用程序的无缝运行中发挥着至关重要的作用,但是,跨不同技术的 HTTP 解析器的实现可能会引入细微的差异,从而导致潜在的安全漏洞。在这项研究中,我的重点是发现跨各种 Web ...
2023 年十佳 Web 黑客技术
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
第2章:Kaleidoscope实现解析器和ast
⊙2.1简介⊙2.2抽象语法树⊙2.3语法解析器基础知识⊙2.4基本表达式解析⊙2.5二进制表达式解析⊙2.6解析其余部分⊙2.7 调度循环部分⊙2.8 完整代码2.1 第2章简介第一章我们介绍了万花...