doc - 第 7 | CN-SEC 中文网

安全新闻

警惕携带PDF特征的Word文件钓鱼攻击

攻击描述近期，山石网科情报中心发现了一批恶意DOC文件，这些文件采用了巧妙的伪装技术，能够有针对性地绕过杀毒软件的文件检测。恶意攻击者利用MIME格式嵌入了PDF文件（ActiveMime）到Wor...

09月12日162 views评论

阅读全文

安全闲碎

《XX集团数据资产管理办法》.doc

来源：数据学堂全文共 3098个字，建议阅读 5 分钟第一章总则第一条为加强和规范某集团有限公司（以下简称集团公司）数据资产管理工作，推动大...

09月10日47 views评论

阅读全文

安全文章

某安全产品鸡肋SSRF到RCE

21年挖的某安全产品的漏洞，现在回去看还是觉得蛮有意思的，整理重发一下，有空再写写某远OA部分版本的类似该洞的一个洞，也蛮有意思。0x01 起系统有session秘钥硬编码的问题，自己生成cookie...

08月30日41 views评论

阅读全文

代码审计

华夏erp代码审计

0x01 环境搭建华夏ERP基于SpringBoot框架和SaaS模式，可以算作是国内人气较高的一款ERP项目，看网上已经公开了漏洞，本次对此框架代码进行源码审计。源码下载路径：https://git...

08月14日105 views评论

阅读全文

程序逆向

UPX 4.0.2 源码分析

因为最近一直在参加HW，在红队中学习到了很多新知识。加壳作为一个常用的免杀手段，我经常是知其然不知其所以然，因此打算自顶向下分析一下upx的源码，梳理整个程序运行的机制。本文将以最新版本 upx 4....

08月09日25 views评论

阅读全文

安全文章

RenderDoc Credits 中 LPE 和 RCE 漏洞的分析和利用

此处是分析总结内容（一步到胃的了解整个过程）：RenderDoc是一个免费的MIT许可的独立图形调试器，允许在Windows、Linux、Android或Nintendo Switch(TM)上使用V...

07月30日20 views评论

阅读全文

安全文章

edusrc挖掘思路：一次edu证书站src挖掘

本文由Siegfried师傅投稿，希望能给各位师傅们带来一点思路前言：在挖掘edusrc的时候很多师傅通常会很苦恼，明明很努力了可就是毫无所获。其实并不是技术不够，而是思路太局限，有的时候宝藏就在眼...

07月29日244 views评论

阅读全文

HW&HVV

利用微信文件的显示长度尝试钓鱼

自从前天发了一张TG钓鱼的手法图片，微信各个群都开始发名为：2021年0day漏洞集合.doc.exe的文件在群里。这不是最可怕的，最可怕的是真的有人在微信上面习惯性的点开了。我也差点没忍住，主要是他...

06月16日45 views评论

阅读全文

安全文章

光速下班，用IAST挖CNVD通用漏洞

什么是IASTIAST是交互式应用程序安全测试（Interactive Application Security Testing），是一个在应用和API中自动化识别和诊断软件漏洞的技术。通过插桩技术（...

05月30日42 views评论

阅读全文

安全文章

CVE-2017-11882 Office内存损坏栈溢出漏洞复现

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。一、漏洞原理...

05月17日56 views评论

阅读全文

安全开发

快速生成定制化的Word文档：Python实践指南

前言众所周知，安服工程师又叫做Word工程师，在打工或者批量SRC的时候，如果产出很多，又需要一个一个的写报告的情况下会非常的折磨人，因此查了一些相关的资料，发现使用python的docxtpl库批...

05月16日166 views评论

阅读全文

安全文章

CVE-2023-29489 cPanel XSS漏洞分析研究

05月04日115 views评论

阅读全文

在线咨询

微信