extra | CN-SEC 中文网

安全工具

Google Hacking 子域名自动化收集工具

项目背景关于 Google Hacking 的自动化脚本，之前写过一些 • 直接爬虫 • 调用 Google API • RPA 自动化 • Python Selenium 自动化 • …… 效果...

04月06日9 views评论

阅读全文

安全文章

常见的WAF绕过方法 (从网络架构层、HTTP协议层、第三方应用层分析)

本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法一、网络架构层一般通过域名指向云WAF地址后反向实现代理，找到这些公司的服务器的真实IP即可实现绕过具体方法如下:1、查...

01月13日47 views评论

阅读全文

代码审计

记一次基于django二次开发系统业务源代码审计

简述突然被领导拉去协助产研的同学做代码审计，审计的系统是一个后端业务系统，系统基于django框架做的二次开发，我只负责审计业务代码即可。审计过程中遇到一个文件上传点未按照编码规范，使用拼接的形式查询...

12月28日12 views评论

阅读全文

安全文章

大模型的反序列化导致的RCE漏洞

大模型的反序列化导致的RCE漏洞话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬，那气氛都到这了，我们来聊聊大模型的rce漏洞吧引言这可以从今年的CVE-20...

12月05日8 views评论

阅读全文

程序逆向

CVE-2024-11477: 7Zip 中的代码执行漏洞 Writeup

CVE-2024-11477-Writeup 大家好！在本周的第一篇文章中，我开始讨论一个热门话题。周一，一位同事给我发了一条关于 CVE-2024-11477 的链接，这是一种声称存在于 7Zip...

12月03日34 views评论

阅读全文

安全文章

Nacos2.4.3新版漏洞利用方式总结

ilter分析寻找未授权接口HttpRequestContextFilter 获取请求头信息，AuthFilter 获取uri，token，权限控制ParamCheckerFilter 处理参数，过滤...

11月29日38 views评论

阅读全文

安全漏洞

Apache Airflow XSS fuzzing

上个月看到Apache Airflow披露了1个存储型xss CVE-2024-39863: Apache Airflow: Potential XSS Vulnerability，于是进行了分析了下...

11月08日11 views评论

阅读全文

安全新闻

我在 Android 移动应用程序中发现的一个有趣的 Bug

我写这篇文章是为了分享我在 hackerone 的一个私人 bugbounty 程序中发现的一个有趣的 bug，首先我要感谢赛义德·阿卜杜勒哈菲兹帮助我开始做安卓渗透测试，并指导我，当然谢尔盖·托辛他...

07月04日6 views评论

阅读全文

安全文章

某Android APP中一处国内不认国外认的有趣Bug

博客新域名：https://gugesay.com 前言该APP在Hackerone上为“私有项目”，白帽小哥在该APP中发现了一处有趣的Bug，分享给各位。故事开始该...

06月13日13 views评论

阅读全文

安全博客

sqlmap udf解密脚本

一次渗透测试中上传 sqlmap 自带的 udf发现无法创建函数打开文件一看根本就不像传统的二进制文件像是一种编码查看相关说明，原来新版sqlmap 为了防止文件被误杀对文件进行异或加密. 所幸在s...

04月04日7 views评论

阅读全文

linux提权工具（一）

linux提权工具unix的很多二进制文件都可用于绕过配置错误的系统中的本地安全限制，合理利用这些功能，可以突破受限制的shell、升级或维持提升的权限、传输文件、生成绑定和反向shell，以及其他利...

01月10日安全工具41 views评论

阅读全文

安全闲碎

docker搭建Stirling-PDF进行pdf操作

简介项目地址：Stirling-Tools/Stirling-PDF: locally hosted web application that allows you to perform variou...

01月10日113 views评论

阅读全文

Google Hacking 子域名自动化收集工具

常见的WAF绕过方法 (从网络架构层、HTTP协议层、第三方应用层分析)

记一次基于django二次开发系统业务源代码审计

大模型的反序列化导致的RCE漏洞

CVE-2024-11477: 7Zip 中的代码执行漏洞 Writeup

Nacos2.4.3新版漏洞利用方式总结

Apache Airflow XSS fuzzing

我在 Android 移动应用程序中发现的一个有趣的 Bug

某Android APP中一处国内不认国外认的有趣Bug

sqlmap udf解密脚本

linux提权工具（一）

docker搭建Stirling-PDF进行pdf操作

在线咨询

微信