01漏洞描述fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系...
Android13针对Intent Filters安全的再升级
在看这个变更之前,我们需要回忆下 Android 12 的一个安全性变更, 即声明了 <intent-filter> 的Activity、BroadcastReceiv...
CORS漏洞小结
一、同源策略介绍0x01 为什么需要同源策略 同源策略是浏览器的安全基石。同源策略保证了同一个浏览器打开...
信息收集工具 -- Arjun(v2.1.5版本)
项目作者:s0md3v项目地址:https://github.com/s0md3v/Arjun一、工具介绍Arjun拥有一个包含10,985个参数名的巨大默认字典,在10秒内通过发送20-30个请求,...
XXE 漏洞代码及修复代码整理
XML原理XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种...
实战|记一次艰难的外网打点
前言这是本系列第二篇文章,依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。上一篇(https://xz.aliyun.com/t/11186)写的有点水,更像是成果展示了,我这次着重写外网打...
通过实验理解“K8S的API聚合”
文章首发于:火线Zone社区(https://zone.huoxian.cn/)背景在K8s中,可以通过聚合层扩展 Kubernetes API[1]。本文参考sample-apiserver项目的r...
基础知识篇 | 浅析跨域资源共享协议相关安全问题(上)
点击蓝字引导关注作者:南城夕雾,转载于Freebuf原文地址:https://www.freebuf.com/articles/web/326174.html一、SOP是什么? 同源策略(Same O...
一个挖洞工具 - A tool for finding vulnerabilities
什么是 afrogafrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描(挖洞)工具,PoC 涉及 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞...
利用Apache Tomcat Examples绕过HttpOnly
网安引领时代,弥天点亮未来 0x00故事是这样的1.故事是这样,有人问我Apache Tomcat Examples有没有用,我的回答是能用,...
【XSS漏洞的脚本】XSStrike工具的安装使用
0x01简介XSStrike 是一款用于探测并利用XSS漏洞的脚本XSStrike目前所提供的产品特性:对参数进行模糊测试之后构建合适的payload使用payload对参数进行穷举匹配内置爬虫功能检...
实战 | 记一次钓鱼网站的渗透
睡前日常翻群,发现一个群内有可疑的”腾讯文档”链接,点进去后,让扫码,猜测为钓鱼网站。二维码识别出来后为一个url:http://abc.example.com/wdtx/aqqdoc.html?ud...
16