encoding | CN-SEC 中文网

安全文章

记一次调用网页JS解决前端加密

文章首发在：先知社区https://xz.aliyun.com/t/16413前言在做渗透测试过程中，难免会遇到前端加密的情况，这个时候就需要我们对js进行逆向来生成或者解密想要的内容，可以使用pyt...

12月27日11 views评论

阅读全文

安全博客

HTTP请求走私的学习

目录 HTTP request smuggling几种不同的走私类型CL-TETE-CLTE-TE利用HTTP请求走私漏洞Bypass前端服务器安全验证获取前端服务器对请求的重写情况获取其他用户的Co...

12月24日2 views评论

阅读全文

安全文章

详解HTTP 请求走私原理

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

12月15日8 views评论

阅读全文

ZIP Slip

有研发的同学询问zip slip漏洞的修复，碰巧最近在批量找一些cms的zip slip漏洞，提供以下两种修复方式，仅供参考：修复方式1private static final int DEFAULT...

11月04日代码审计8 views评论

阅读全文

安全文章

浅谈JspWebshell之编码

浅谈JspWebshell之编码写在前面最近@phithon在知识星球中分享了一个多重编码的webshell姿势后，先膜一下大佬出于对代码实现的好奇简单看了看tomcat的具体实现以及尝试是否能够...

10月29日13 views评论

阅读全文

安全文章

HTTP 请求走私

0x01 简介HTTP请求走私这个漏洞在几年前就已经被提出来了，但是人们几乎很少去重视它，而现实中越来越多的人开始使用类似于CDN加速技术对网站性能进行优化，这个时候就出现了众多的反向代理服务器真实网...

10月18日11 views评论

阅读全文

安全漏洞

大华任意文件上传漏洞（附EXP）

0x01 前言大华智慧园区综合管理平台是一款综合管理平台，具备园区运营、资源调配和智能服务等功能。该平台开放了文件上传功能，但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤，...

09月28日40 views评论

阅读全文

安全工具

web指纹finger字典合并（附源码）

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！进行信息收集的时候，我们往往需要通过url的指纹信息，先缩小范围，寻找薄弱...

09月27日25 views评论

阅读全文

安全漏洞

漏洞预警 Ymnets.net框架 upload文件上传漏洞

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...

09月23日161 views评论

阅读全文

安全工具

HTTP请求走私（内含portswigger靶场即工具）

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！ HTTP请求走私在这一章节，我们将解释HTTP请求走私攻击并描述请求走...

09月12日24 views评论

阅读全文

安全博客

HTTP请求走私

前言当初嘶吼有一道题把菜鸡卡住了，师傅们在群上发了知识点，发现还是挺有趣的，来研究一波 HTTP/1.1协议简单介绍emmm，估计师傅们都对它十分熟悉了，就是一种无状态的、应用层的、以请求/应答方式运...

08月18日9 views评论

阅读全文

安全新闻

揭秘 TE.0 HTTP 请求走私：在数千个 Google Cloud 网站中发现严重漏洞

这篇博文是 Paolo Arnolfo (@sw33tLie) 的合作成果，Paolo Arnolfo 是一位对服务器端漏洞充满热情的黑客爱好者；Guillermo Gregorio (@bsysop...

07月29日20 views评论

阅读全文