JSONP JSONP的全称是JSON with Padding,是一种基于JSON格式来解决跨域请求资源的方案。 由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名...
04月14日4 views评论callback
referer
浅谈JSONP劫持漏洞
04月14日4 views评论callback
referer
04月14日4 views评论callback
referer
weiphp5.0 scan_callback 代码执行漏洞
漏洞简介SPRING HAS ARRIVEDweiphp5.0 scan_callback 存在代码执行漏洞 漏洞复现SPRING HAS ARRIVED第一步、使用以下fofa语...
04月01日23 views评论rce
代码执行漏洞
打造柚子(yuzu)模拟器的金手指工具
最近比较令人意外的事情是柚子模拟器因为被任天堂起诉而关闭,所以后续switch模拟器如何发展还很不好说。不过就如世界每天都有各种灾难,而我们的生活依然要继续一样,柚子模拟器关闭了,但我们的“学习”还得...
03月25日16 views评论memo
模拟器
漏洞预警 weiphp5.0 scan_callback 代码执行漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...
03月11日51 views评论云安全
漏洞预警
TLS 注入
本期作者/牛杰概述TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入...
03月08日9 views评论payload
tls
不生成线程的远程TLS回调注入Poc
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。 关于 利用 TLS...
02月26日21 views评论shellcode
地址
Burp插件-蜜罐识别辅助HoneyPotDetector
点击「蓝色」字体关注我们! 蜜罐技术jsonp劫持原理: JSON劫持又称“JSON Hijacking”,2008年国外安全研究人员开始提到由JSONP带来的风险。这个问题属于CSRF(Cross-...
02月23日20 views评论域名
插件
再怎么鸡肋也比吃瓜混日子强的 xxl-job 代码审计
发现安全隐患及利用方式:介绍了XXL-JOB分布式任务调度平台的核心设计目标和调度流程,并列举了主要使用的API接口。同时,还提到了Token配置的详细说明。接下来,文章对XXL-JOB的代码进行了审...
02月21日46 views评论param
代码审计
某盘移动图书馆系统审计
0x00 前言app="金盘软件-金盘移动图书馆系统"0x01 前台任意文件读取在 /pages/admin/tools/file/download.jsp 中 GET获取参数items 并可取任意文...
02月19日27 views评论callback
response
字节系app通用抓包方案
已测试某音(28.4.0), 某茄小说(6.0.5.32) 原理 获取SSL_CTX_set_custom_verify的参数3(回调函数) void SSL_CTX_set_custo...
02月01日61 views评论callback
ctx
如何监测Android网络类型:5G/4G/3G/2G能力
如何监测Android网络类型:5G/4G/3G/2G能力App可以通过了解所连接的网络类型来获益,例如启用某些功能需要5G提供的带宽和低延迟。如果只有2G或3G网络可用,加载时间会比较慢,因此我们可...
01月15日24 views评论callback
network
IOS安全 APP TLS 数据强制抓包与解包
本文作者:Jammny 本文字数:3000字 阅读时长:约10分钟 附件/链接:点击查看原文下载 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 ❝ 先开启 tcpdump 抓包...
01月11日59 views评论callback
tls