黑名单 - 第 3 | CN-SEC 中文网

文件上传绕过总结——详细保姆篇

前端 js类绕过页面直接修改js上传文件方法（按F12使用网页审计元素，把校验的上传文件后缀名文件删除，即可上传。）；抓包改包，在contnet-type将上传的文件后缀进行修改；（例如：a.jsp...

11月03日安全文章34 views已关闭评论

阅读全文

自动IP拦截工具-Fail2Ban

Fail2Ban是一个入侵防御软件框架。它用Python编程语言编写，旨在防止暴力攻击。Fail2ban 能够监控系统日志，匹配日志中的错误信息（使用正则表达式），执行相应的屏蔽动作（支持多种，一般为...

10月29日安全工具49 views评论

阅读全文

常见JAVA反序列化危险对象列表

在反序列化时设置类的黑名单来防御反序列化漏洞利用及攻击，这个做法在源代码修复的时候并不是推荐的方法，因为你不能保证能覆盖所有可能的类，而且有新的利用payload出来时也需要随之更新黑名单，但有一种场...

10月13日代码审计35 views评论

阅读全文

安全文章

文件上传绕过的一次思路总结（两个上传点组合Getshell）

点击上方[蓝字]，关注我们免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。文章正文这是朋友的一个渗...

10月13日21 views评论

阅读全文

安全文章

用友反序列化漏洞黑名单绕过浅析

Ha1ey@深蓝攻防实验室前言相信大家实战项目中遇到过很多某友NC或者NCCloud，关于这个产品的漏洞也是层出不穷，最多的就是反序列化漏洞了。在NC6.5这个产品版本的时候大家常用的一条利用链...

10月12日70 views评论

阅读全文

安全工具

(原创工具)流量转发器:自动化捡洞/打点必备神器

工具简介 - 项目名称：z-bool/Venom - 项目地址： https://github.com/z-bool/Venom - 项目描述：鉴于平时挖洞打点时用到被动扫描器，在挖洞时...

10月10日59 views评论

阅读全文

安全工具

[工具篇] Burp插件-TsojanScan推荐

----来自微步社区鬼才BT师傅们金句 HVV结束了，有开始就有落幕,落幕不是意味着结束,是明年更好的开始。开始学习，最近发现Tsojan师傅写的Burp的插件很好用，极力推荐下~ 介绍...

10月07日158 views评论

阅读全文

安全工具

GitGot - 半自动化搜索GitHub公共数据

我最近开始尝试一款叫 GitGot 的开源工具。这款工具专注于从 GitHub 上搜索公共数据，帮助我们快速识别潜在的敏感信息泄露。简单来说，它就像一个高效的侦探，可以帮助我们找到那些隐藏在版本控制系...

10月04日17 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/8/31】

2024-08-31 微信公众号精选安全技术文章总览洞见网安 2024-08-310x1 ssrf之黑名单绕过迪哥讲事 2024-08-31 23:00:49本文讨论了服务器端请求伪造（SSRF）攻击...

09月01日33 views评论

阅读全文

安全工具

GitGot - 半自动化搜索GitHub公共数据，并获取敏感信息的工具

GitGot介绍GitGot是一个半自动化，反馈驱动的工具，使用户能够快速搜索GitHub上的大量公共数据，获取并检查敏感信息泄露情况。GitGot原理在搜索会话期间，用户将向GitGot提供有关要忽...

08月31日23 views评论

阅读全文

安全文章

「典型安全漏洞系列」08.文件上传漏洞详解

往期回顾「典型安全漏洞系列」07.OS命令注入详解「典型安全漏洞系列」06.路径遍历(Path Traversal)详解「典型安全漏洞系列」05.XML外部实体注入XXE详解「典型安全漏...

08月23日67 views评论

阅读全文

安全文章

某报表玩坏的反序列化漏洞

起因某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享...

08月20日123 views已关闭评论

阅读全文

在线咨询

微信