一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚Shellcode原理通常我们使用CS生成payload后,都是利用加载器将payload放在内存中运行但paylo...
FastAdmin前台分片传输上传文件getshell exp
FastAdmin 默认不开启 感觉有点鸡叻 详细分析请看 https://mp.weixin.qq.com/s/gAerDNnDSl6864oyvDy4nA请看视频 ...
Canalys网安报告:疫情后复杂的网安生态
3月28日,市场调研机构Canalys发布报告《网络安全产业的现在时和将来时》,剖析2021年及以后网络安全产业面临的机遇和挑战。由于上一年新冠疫情在全球肆虐,网络安全行业面临着不少挑战。例如,企业在...
One Way to Find Hidden IDOR Vulnerability
I received an invitation for an internal project, i found an interesting vulnerability in ...
JavaWeb安全开发
SQL注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没...
Brup Suite插件分享-Burp_AES_Plugin【AES爆破插件】
Brup Suite的爆破功能经常使用,但是很多网站,可能使用了AES,通过前端我们可以获取到key和iv偏移量。 获取到,但是遍历、爆破等等,Brup本身是不能够支持的,所以分享...
Apache Solr stream.url SSRF与任意文件读取漏洞利用
Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通...
[已修复]Alibaba Nacos to 认证ByPass漏洞,可导致RCE
Nacos是阿里巴巴2018年7月发布的一个产品,Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
Apache Flink目录遍历漏洞通告(CVE-2020-17518、CVE-2020-17519)
Apache Flink是一个框架和分布式处理引擎,用于对无限制和有限制的数据流进行有状态的计算。 Apache Flink中存在文件写入漏洞,攻击者可通过REST API 构造恶...
Tomcat WebSocket 拒绝服务漏洞附EXP(CVE-2020-13935)
Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞。
常见JAVA组件安全-Turning your data into code execution
不多说,直接上封面,末尾附下载: 下载链接: java_marshalsec.pdf
TRICK: Linux Auditd审计工具
难题:/home/chen/test/目录下的index.html为首页文件,一直被入侵者恶意篡改需求:想要定位攻击方式以及篡改方式
25