目前,针对域名系统(DNS)的攻击已经成为企业组织数字化发展中的一个严重问题,每年都有数千个网站成为此类攻击的受害者。据最近的研究数据显示,2023年企业组织与DNS攻击相关的损失同比增加了49%,这...
(1day)某友多个接口存在xxe漏洞(大量存在)
01 漏洞描述 某友是一家专业的企业软件服务商,提供全面的企业管理软件和解决方案,包括财务、人力资源、供应链、生产制造等多个领域。某友系统作为其核心产品之一,是一款集成度高、功能...
安全挖掘快速多用途工具
介绍dnsx是一个快速的多用途DNS工具包,设计用于通过retryabledns库运行各种探测。它支持多个DNS查询、用户提供的解析器、DNS 通配符过滤(如shuffledns等)。特征简单方便的 ...
全球数百万台企业级、消费级计算机面临恶意 UEFI logo images攻击
导 读固件安全公司 Binarly 周三披露了一种攻击方法的细节,该方法可通过利用恶意 UEFI logo images来危害许多消费者和企业设备。这种被称为LogoFAIL的攻击方法利用 ...
利用 URL 解析混淆
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。...
最新的各HTTP解析器差异导致的漏洞
整理测试近期各类HTTP解析器不一致导致的漏洞,可以绕过Nginx ACL和AWS WAF,SSRF利用,异步缓存中毒等。绕过NginxNginx 是一个强大的 Web 服务器和反向代理,关于Ngin...
追踪 Kubernetes 中的 DNS 查询
在过去的文章中,我们曾 追踪过 Kubernetes 中的网络数据包[1],这篇文章将追踪 Kubernetes 中的 DNS 查询。 让我们以在 Pod 中解析 Service 完全限定域名(FQD...
【漏洞预警】Parse Server远程代码执行漏洞威胁通告
1. 通告信息近日,安识科技A-Team团队监测到Parse Server中修复了一个远程代码执行漏洞(CVE-2023-36475),其CVSSv3评分为9.8。对此,安识科技建议广大用户...
加强IDA反汇编工具对程序的解析深度
概述为了增强 IDA 的函数、结构体等信息的识别能力。设置了几类帮助解析识别的辅助操作文件,如:ids、sig、til等。目录和对应文件介绍cfg:ida 工具的配置文件。ida.cfg:ida 通用...
XSStrike – 可识别并绕过WAF的XSS扫描工具
XSStrike 高级XSS检测套件 XSStrike是一个XSS脚本探测套件,配备了4个手写解析器,一个智能payloads生成器,一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之...
DNS 域名解析验证工具
通过根据基准服务器验证 IPv4 DNS 服务器并确保准确的响应来维护 IPv<> DNS 服务器的列表。对已知的常见欺骗 DNS 地址执行 DNS 查找,以确保在预期时返回 NXDOMA...
浅析XML外部实体注入
点击蓝字 / 关注我们前言在进行系统学习过后,对XXE进行简单总结,希望能对正在学习XXE的师傅有所帮助前置知识XML什么是XMLXML用于标记电子文件使其具有结构性的标记语言,可...
5