前言: 在日常代码审计中遇到个这玩意,遇到一个奇怪的白名单上传的写法,然后通过这个shell了。 于是引发了下面的思考,以及简单的看了下github上面的代码,发觉这种写法的还不少。 正文: 遇到的代...
获得CVE漏洞编号的思路分享
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1 github LO...
基于算法的漏洞检测
零、背景漏洞挖掘是安全中比较核心的一个方向,无论是个人安全爱好者的研究还是企业的安全建设很多工作都是围绕漏洞来做的。在大型甲方公司中负责漏洞挖掘和发现的团队通常是SDL或者现在叫DevSecOps,每...
浅谈Log4j2在Springboot的检测
引言 Apache Log4j是一个基于Java的日志记录工具。通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记...
总结一下自己CNVD原创证书获取姿势
0x01 前言挖CNVD证书是在准备出去实习的时候,想着挖个CNVD证书丰富一下自己的简历,再到后来挖CNVD证书完全是因为众测实在是太卷了,出洞率低,重洞率高,导致自己经常挖完众测之后就emo,然后...
G.O.S.S.I.P 阅读推荐 2022-06-20 ML-DOCTOR
大家好呀~ 新的一周开始啦~今天给大家推荐的是一篇来自德国CISPA中心张阳研究组投稿的,关于对机器学习模型推理攻击全局性研究的文章ML-DOCTOR: Holistic Risk Assessmen...
协议模糊测试
前言Introduction模糊测试作为一种常用的软件测试技术,其目的是寻找软件系统或给定目标程序的漏洞。在系统的开发与调试过程中,模糊测试也可以找到那些我们可能没有注意到的缺陷。模糊测试的对象可以是...
聚合型代码审计工具QingScan实践
[md]## 一、简介笔者最近看到很多公众号在推荐`QingScan`这款扫描器平台,也好奇了起来,花了半小时将QingScan搭建了起来;搭建起来之后,进入控制台中看了下QingScan的功能列表,...
记一次某oa的黑盒漏洞挖掘
WinterSolstice点击蓝字 关注我们特别声明本篇文章只用来作为技术分享,请勿将此技术用于违法活动上。不得将以下内容用于商业或者非法用途,否则,一切后果请读者自负。再次声明,仅供学习研究。以下...
# web漏洞测试工具研发-http/s请求包处理 - guimaizi
自动化躺赚系列 02 以后可能还有,哈哈哈。 自动化躺赚系列 01 业务漏洞挖掘笔记 https://xz.aliyun.com/t/9028 1.自动黑盒漏洞检测思路 黑盒测试,也就是盲测http请...
记一次内网靶场实战<上>
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬前言本环...
半黑盒模式下挖掘RCE漏洞
原文始发于微信公众号():半黑盒模式下挖掘RCE漏洞