execute - 第 3 | CN-SEC 中文网

安全文章

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

前言 SSTI（Server-Side Template Injection）漏洞，也被称为模板注入漏洞。SSTI漏洞是一种在服务器端模板引擎中注入恶意代码的攻击方式。攻击者通过注入可执行代码，可以在...

11月06日25 views评论

阅读全文

代码审计

JAVA安全之FreeMark沙箱绕过研究

文章前言Freemark中维护了一个freemarker-core/src/main/resources/freemarker/ext/beans/unsafeMethods.properties黑名...

11月06日11 views评论

阅读全文

安全漏洞

易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现

00 产品简介易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台，具有信息管理、流程管理、知识管理(档案和业务管理)、协同办公等多种功能。 01漏洞概述易宝OA Exec...

10月28日34 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-10-24 To Write & To Execute

针对内存溢出的经典安全防护策略之一的write-xor-execute（W^X）最早是在什么时候开始应用的呢？根据维基百科的介绍，这个策略最初应该是在2003年5月在OpenBSD上部署，然后微软也很...

10月25日13 views评论

阅读全文

安全文章

30000美元赏金事件

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景介绍：一位国外漏洞赏金猎人正在对一家金...

10月24日28 views评论

阅读全文

安全闲碎

如何防范webshell入侵

一、前言在当今的网络社会中，随着互联网技术的快速发展，网络安全问题日益凸显。其中，webshell入侵作为一种常见的攻击手段，给各类网站和网络系统带来了严重的安全威胁。本文将介绍什么是webshell...

10月22日74 views评论

阅读全文

安全漏洞

CVE-2022-44666 Windows Contact漏洞社工利用分析和检测

背景Windows Contact是一种文件类型，用于存储和管理Windows操作系统中的联系人信息。它是一种通用的联系人数据格式，包含个人或组织的姓名、地址、电话号码、电子邮件地址等联系信息。此漏洞...

10月18日38 views评论

阅读全文

安全漏洞

用友NC系统的命令执行漏洞ActionInvokeService的分析

好久好久没更新！！！！share一篇存稿，快hvv了 0-0 有任何问题欢迎师傅们联系讨论交流！！！向师傅们学习！！ https://security.yonyou.com/#/noticeInfo?...

10月15日36 views评论

阅读全文

代码审计

源码审计是否存在sql注入，安全和危险的sql操作代码

得到源代码获得源代码后，使用搜索工具，例如PowerGREP搜索源码搜索关键词如下selectupdatedeleteinsertsqlfromdatabase搜索后，可以看到结果中出现了很多条sql...

10月13日25 views评论

阅读全文

安全文章

某微SQL堆叠注入（2）

漏洞已在新版本修复，请低版本及时更新补丁漏洞已在新版本修复，请低版本及时更新补丁漏洞已在新版本修复，请低版本及时更新补丁==========正文==========/mobilemode/Action...

10月07日17 views评论

阅读全文

安全文章

Active Directory CS的几种打法

前言AD CS 用于设置私有企业证书颁发机构 (CA)，然后用于颁发将用户或机器身份或账户绑定到公私密钥对的证书，允许该密钥对用于不同的操作，例如文件加密、签署文件或文档和身份验证。AD CS 管理员...

10月07日22 views评论

阅读全文

代码审计

某微SQL注入分析长文

==========正文==========‍‍ 首先找到存在注入的server.jsp文件，发现该页面会接受一个参数名为invoker的参数然后对该参数进行了判空和前缀检查。从页面中...

09月28日60 views评论

阅读全文

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

JAVA安全之FreeMark沙箱绕过研究

易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现

G.O.S.S.I.P 阅读推荐 2024-10-24 To Write & To Execute

30000美元赏金事件

如何防范webshell入侵

CVE-2022-44666 Windows Contact漏洞社工利用分析和检测

用友NC系统的命令执行漏洞ActionInvokeService的分析

源码审计是否存在sql注入，安全和危险的sql操作代码

某微SQL堆叠注入（2）

Active Directory CS的几种打法

某微SQL注入分析长文

在线咨询

微信