a - 第 7 | CN-SEC 中文网

安全新闻

Android 系统“照明弹”功能的技术及法律规制（DPO社群成员观点）

编者按：由于 Android 操作系统本身具有开放性，其丰富的编程接口给开发人员提供了极大的便利，不同的手机厂商可以定制不同的手机系统，同时也使得 Android 平台上的应用在调用系统权限、收集终端...

04月19日153 views评论

阅读全文

安全文章

weblogic的T3反序列化0day-python脚本

漏洞1.weblogic T3 漏洞检测脚本 python2 .py url 70012.某天安全检测越权访问漏洞自取：链接: https://pan.baidu.com/s/1HE9xAjTRli...

04月18日242 views评论

阅读全文

安全文章

对WhatsApp中消息自动回复的Android恶意软件分析

0x01 基础概述我们最近在Google Play上发现了隐藏在伪造应用程序中的恶意软件，该软件能够通过用户的WhatsApp消息进行传播。如果用户下载了伪造的应用程序并在不经意间授予了恶意软件适当的...

04月18日65 views评论

阅读全文

安全文章

微信 RCE 0day演示- 附POC下载

已复现，确实存在。漏洞点在微信内置浏览器，内核版本较低，且没有开启沙盒。微信打开链接时会调用chrome内核，默认使用--no-sandbox，这里可以使用最新的chrome 0day进行攻击，但需构...

04月18日326 views评论

阅读全文

安全文章

CS免杀-实现shellcode拉取stage

一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学，切勿用于它用途公众号：XG小刚Shellcode原理通常我们使用CS生成payload后，都是利用加载器将payload放在内存中运行但paylo...

04月18日68 views评论

阅读全文

FastAdmin前台分片传输上传文件getshell exp

FastAdmin 默认不开启感觉有点鸡叻详细分析请看 https://mp.weixin.qq.com/s/gAerDNnDSl6864oyvDy4nA请看视频 ...

04月18日安全文章99 views评论

阅读全文

安全新闻

Canalys网安报告：疫情后复杂的网安生态

3月28日，市场调研机构Canalys发布报告《网络安全产业的现在时和将来时》，剖析2021年及以后网络安全产业面临的机遇和挑战。由于上一年新冠疫情在全球肆虐，网络安全行业面临着不少挑战。例如，企业在...

04月17日56 views评论

阅读全文

gh0st_cn

One Way to Find Hidden IDOR Vulnerability

I received an invitation for an internal project, i found an interesting vulnerability in ...

04月17日84 views评论

阅读全文

JavaWeb安全开发

SQL注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没...

04月17日javasec_cn182 views评论

阅读全文

javasec_cn

Brup Suite插件分享-Burp_AES_Plugin【AES爆破插件】

Brup Suite的爆破功能经常使用，但是很多网站，可能使用了AES，通过前端我们可以获取到key和iv偏移量。获取到，但是遍历、爆破等等，Brup本身是不能够支持的，所以分享...

04月17日419 views评论

阅读全文

javasec_cn

Apache Solr stream.url SSRF与任意文件读取漏洞利用

Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通...

04月17日250 views评论

阅读全文

javasec_cn

[已修复]Alibaba Nacos to 认证ByPass漏洞，可导致RCE

Nacos是阿里巴巴2018年7月发布的一个产品，Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

04月17日3,985 views评论

阅读全文

在线咨询

微信