页面 - 第 2 | CN-SEC 中文网

安全文章

记一次代码审计打穿多所高校

在之前打省护的时候无意间获得某网站源码，国护面试通过了以后把之前留在手里的代码重新拿出来做一下代码审计，也借此机会做个记录。源码包大致分布是这样，由于没有使用Mvc开发思想也就省去了反编译d...

08月20日30 views已关闭评论

阅读全文

安全开发

解析YAML漏洞脚本，反向生成漏洞检索数据库

解析YAML 最近有搭建漏洞检索数据库的想法，但是漏洞录入数据库是个难事。为了方便录入漏洞信息，这边就想直接用Nuclei的历史漏洞YAML脚本做成数据录进数据库中，作为数据方便全文搜索关键字。...

08月07日19 views评论

阅读全文

安全文章

0基础入门代码审计-4 XSS

0x01 漏洞描述跨站脚本攻击（Cross Site Script）是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。跨站脚本攻击有以下攻击形式： 1、反射型...

08月06日24 views评论

阅读全文

安全漏洞

Openfire 身份认证绕过漏洞复现(CVE-2023-32315)

Openfire简介 Openfire是根据开源Apache许可证授权的、采用Java编程语言开发的实时协作（RTC）服务器。XMPP Openfire使用即时通讯开放协议，安装和使用都非常简单，并利...

08月05日91 views评论

阅读全文

应急响应

关于安全小天地博客网站的两次应急响应

免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

08月05日43 views评论

阅读全文

安全文章

某攻防演练｜从404页面到接管阿里云

打比赛刷分最快的办法就是，扫资产，应该是废话指纹识别，Ehole（可能有点过时了）框架shiro，jeecg等等其次就是用一些集成工具，比如灯塔，ScopeSentry，TscanPlus拿到中间件就...

08月05日33 views评论

阅读全文

安全新闻

攻击者劫持Facebook页面用于推广恶意AI照片编辑器

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。趋势科技的研究人员发现的这一恶意...

08月02日11 views评论

阅读全文

安全文章

【漏洞实例】2400美元的命令注入

漏洞发现：我选择的目标是管理员登录页面，在检查Wappalyzer后，我注意到它是用PHP编写的。我首先想到的是在登录页面上测试SQLi，但没有成功。在下一步中，由于我们的目标有一个文档根目录，我开...

08月02日20 views评论

阅读全文

HW&HVV

HW案例：一次金融目标供应链+社工通关

一、背景介绍金融行业的攻防演练早已超越了仅仅通过1/Nday漏洞简单扫描就能突破边界的阶段，现在社工攻击和供应链攻击已成为常见的攻击手段。本文介绍了一次演练项目，通过结合供应链和社工攻击，绕过安...

07月28日207 views评论

阅读全文

安全工具

蓝队猴子们的福利-自动切换页面

蓝队猴子福利来了，很多师傅有时候一次要负责多台安全设备，每隔几秒都要切换观看一下。下面有两个脚本，第一个脚本是自动切换页面，运行后直接解放双手，打开浏览器，然后鼠标点一下浏览器，就会...

07月23日15 views评论

阅读全文

安全工具

Next.js 和缓存中毒：黑洞探索

介绍为了寻找挑战、零日漏洞和赏金，我专注于广泛使用的软件，以寻找有趣的缓存中毒案例。我的注意力很快转向了Next.js，这是一个基于 React 的开源 JavaScript 框架，由 Vercel...

07月10日121 views评论

阅读全文

记一次代码审计打穿多所高校

解析YAML漏洞脚本，反向生成漏洞检索数据库

0基础入门代码审计-4 XSS

Openfire 身份认证绕过漏洞复现(CVE-2023-32315)

关于安全小天地博客网站的两次应急响应

某攻防演练｜从404页面到接管阿里云

攻击者劫持Facebook页面用于推广恶意AI照片编辑器

【漏洞实例】2400美元的命令注入

HW案例：一次金融目标供应链+社工通关

蓝队猴子们的福利-自动切换页面

推荐一款开源百度网盘批量转存、分享和检测工具，方便大家收集资源

Next.js 和缓存中毒：黑洞探索

在线咨询

微信