Socket 威胁研究团队发现了一场持续不断的朝鲜供应链攻击,该攻击隐藏在域名抢注的 npm 软件包背后。与“传染性访谈”行动相关的威胁行为者在 24 个 npm 账户中发布了 35 个恶意软件包。其...
避坑,RAX3000Me路由器刷机注意事项
CMCC RAX3000M可以说是最火的AX3000刷机路由器,采用了MT7981主芯片,刷机方便,并且有emmc版本,存储空间大,可以作为轻NAS使用。曾经价格从100元涨到了180元,你可能从来没...
红队的JS:进攻性安全终极指南
在不断发展的攻击性网络安全领域,JavaScript是一位默默无闻却又强大的盟友。从基于浏览器的攻击到DOM 利用和客户端操控,掌握 JavaScript 能让道德黑客获得战术优势。接...
Java 安全 | Groovy 与 ScriptEngineManager
Groovy 链分析前言Groovy1 @frohoff groovy:2.3.9一条 RCE 链, 先对 Groo...
Clash for Windows远程代码执行漏洞复现
漏洞描述:clash_for_windows_pkg由Electron提供动力。如果XSS有效负载以代理的名义,我们可以在受害者的计算机上远程执行任何JavaScript代码。漏洞原理:clash使用...
深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持
免责声明由于传播、利用本公众号开心网安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号开心网安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
Java 安全 | Clojure 链
Clojure 链前言Clojure 简介本地 Clojure 环境安装链路分析分析前置信息main$eval_opt::invoke -> 危险方法core$comp$fn__4727::in...
Java 安全 | Clojure 链
Clojure 链前言Clojure 简介本地 Clojure 环境安装链路分析分析前置信息main$eval_opt::invoke -> 危险方法core$comp$fn__4727::in...
Webshell管理工具流量特征抓包分析
#这篇是之前自己分析的时候做的笔记,由于最近有一些赛事加上冲某src的榜所以没怎么写文章耽搁了wireshark 查看具体流量包定位webshell所有流量流程这里仅仅定位http的,不考虑https...
PHP_webshell免杀-绕过主流引擎通杀方案
0x00 前言思索万千,决定发表。本文提到的通杀方案截至到今日之前一直是有效的。注:本文将不会细讲各个思路该如何利用。0x01 正文先给大家看一下免杀效果:可以看到,我这段通杀方案能够秒杀以上这些常见...
一处价值 $2500 的 DOM XSS 漏洞
概述 安全研究员 gamer7112 通过利用配置错误的 postMessage 处理器,在 Upserve 的登录页面(https://inventory.upserve.com/lo...
PHP_webshell免杀06-eval过长亭通杀方案
0x00 前言就在刚刚,我绕过了长亭:此刻我的心情十分复杂,因为我在尝试绕过其他查杀引擎,虽然其他查杀引擎没绕过掉,但没想到这招居然绕过了长亭,并且是无感绕过,并不影响后续连接webshell。我现在...