http - 第 43 | CN-SEC 中文网

安全文章

【社区精选】JBoss常见漏洞总结

JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）漏洞原理：该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFil...

05月09日180 views评论

阅读全文

安全文章

BIG-IP(CVE-2022-1388)从修复方案分析出exp

1 漏洞详情根据官方漏洞通报，BIG-IP iControl REST接口存在一个认证漏洞，绕过认证后可调用后端接口执行任意命令，影响版本较广，参考：https://suppor...

05月09日405 views评论

阅读全文

安全工具

常见的WAF绕过进程及识别工具

1、WAF简介WAF对于一些常规漏洞（如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞）的检测大多是基于“正则表达式”和“AI+规则”的方法，因此会有一定的概率绕过其防御。绕过waf的测试中，有很多...

05月09日145 views评论

阅读全文

安全工具

分享 | 附下载一个用于隐藏C2的Tools、开箱即用的反向代理服务器

Oratu 一个用于隐藏C2的、开箱即用的反向代理服务器。旨在省去繁琐的配置Nginx服务的过程。 0x01 使用 ./Ortau 此时Ortau监听在8091端口，判断发送至8091端口的请求UA中...

05月09日154 views评论

阅读全文

安全工具

【工具】免费在线可视化分析工具：Touch Graph

TouchGraph成立于 2001 年，当时为 Google 创建了最初的可视化浏览器。从那时起，数百万人使用 TouchGraph 的工具来发现包含在 Google、Amazon、Wiki 和其他...

05月08日162 views评论

阅读全文

安全工具

专注web资产发现，红队信息搜工具

ratel(獾) 是一个由rust开发的信息搜集工具，专注web资产发现，支持从fofa，zoomeye API查询，提供详细的配置参数，可靠，可以从错误中恢复查询，自动去重。同时也支持主动扫描端口，...

05月08日74 views评论

阅读全文

安全闲碎

一文读懂https中密钥交换协议的原理及流程

一、引言http与https区别：HTTP 由于是明文传输，所以在安全性上存在以下三个风险：窃听风险，因为明文传输，可以直接抓包获取传输的数据，就会导致信息的泄漏。篡改风险，比如强制入垃圾广告。冒充风...

05月08日125 views评论

阅读全文

安全文章

SSRF Bypass

http://[::]:80http://0.0.0.0http://0http://0x7f000001http://2130706433http://0000::1http://0000::1:2...

05月08日25 views评论

阅读全文

安全工具

13款Linux比较实用的工具

本文介绍几款Linux比较实用的工具，希望有所帮助。1、查看进程占用带宽情况-NethogsNethogs 是一个终端下的网络流量监控工具可以直观的显示每个进程占用的带宽。2、硬盘读取性能测试-IOZ...

05月08日38 views评论

阅读全文

IoT工控物联网

LuCI系路由系统逆向分析-上篇

一、前言 luCI 是 Openwrt 开发的 Web 系统，最典型的是自家的 Openwrt ，不少企业基于此系统魔...

05月08日857 views评论

阅读全文

安全新闻

Kubernetes 严重安全问题导致服务器被入侵变矿机

作者: corvofeng 链接: http://33h.co/khv70近期遇到了一次我们自建Kubernetes集群中某台机器被入侵挖矿的情况，后续也找到...

05月08日34 views评论

阅读全文

安全文章

HTTP走私及变体总结

HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式，用以绕过安全控制并获得未经授权的访问，执行恶意活动。在解释http走私的原理之前，要了解下文所说的相关背景知识。背景知识...

05月08日73 views评论

阅读全文

【社区精选】JBoss常见漏洞总结

BIG-IP(CVE-2022-1388)从修复方案分析出exp

常见的WAF绕过进程及识别工具

分享 | 附下载一个用于隐藏C2的Tools、开箱即用的反向代理服务器

【工具】免费在线可视化分析工具：Touch Graph

专注web资产发现，红队信息搜工具

一文读懂https中密钥交换协议的原理及流程

SSRF Bypass

13款Linux比较实用的工具

LuCI系路由系统逆向分析-上篇

Kubernetes 严重安全问题导致服务器被入侵变矿机

HTTP走私及变体总结

在线咨询

微信