http - 第 97 | CN-SEC 中文网

安全文章

常见中间件漏洞（续）

文章源自【字节脉搏社区】-字节脉搏实验室作者-Jadore扫描下方二维码进入社区：IIS put上传漏洞漏洞原因：webdav服务拓展、网站的一些权限配置不当。WebDAV（Web-based Dis...

09月10日293 views评论

阅读全文

代码审计

代码审计直通车

简介YXcms是基于PHP+MySql开发，采用CANPHP框架编写的。高效采用三级缓存：数据库缓存、模板缓存、静态缓存，可使网站数据达到百万级负载！灵活采用功能与显示分离...

09月10日245 views评论

阅读全文

安全工具

红队工具

本文来自 https://www.freebuf.com/sectool/249328.html这个工具还是很多人需要看见freebuf更新了就发出来 HVV期间各种工具建议在...

09月10日964 views评论

阅读全文

安全文章

利用ServerChan实现CobaltStrike上线微信提醒

介绍 ServerChan是一款程序员和服务器之间的通信软件，也就是从服务器推送报警和日志信息到手机的工具。...

09月10日325 views评论

阅读全文

代码审计

Ecshop 4.0 SQL（代码审计从Nday到0day ）

点击蓝字 · 关注我们01背景payload Referer 处 SQL注入导致RCE(先对公开的进行分析学习)02为什么要在HTTP头 SQL注入require(dirname...

09月09日439 views评论

阅读全文

安全开发

如何使用HTTP模块在Node.js中创建Web服务器（上）

当你在浏览器中查看网页时，其实是在向互联网上的另一台计算机发出请求，然后它会将网页提供给你作为响应。你通过互联网与之交谈的那台计算机就是Web服务器，Web服务器从客户端（例如你的浏览器）接收HTTP...

09月08日161 views评论

阅读全文

安全文章

通过命令下载执行恶意代码的几种姿势

文章来源：Bypass在渗透过程中，攻击者往往需要通过命令下载执行恶意代码，实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。在目标主机执行恶意代码，可以分为上传/下载并执...

09月08日197 views评论

阅读全文

未分类

干货｜GitHUB安全搬运工 Ⅱ

Dictionary-Of-Pentesting收集一些常用的字典，用于渗透测试、SRC漏洞挖掘、爆破、Fuzzing等实战中。收集以实用为原则。目前主要分类有认证类、文件路径类、端口类、域名类、无线...

09月07日244 views评论

阅读全文

未分类

一文详解 Websocket 的前世今生

一、阅前热身什么是 keep-alive1、keep-alive 只是客户端的一种建议我们打开百度首页，进一步查看 header。如图，我们看到请求 header 中有一行：Connection:ke...

09月07日231 views评论

阅读全文

代码审计

PHP安全：变量的前世今生

摘要变量安全是PHP安全的重要部分，本文系统地分析了一个变量的“人生之旅”中存在哪些安全问题。变量的人生之路:传入参数→变量生成→变量处理->变量储存。Part1 传入参数传参是一个从前台通过G...

09月06日250 views评论

阅读全文

安全文章

在服务器上利用WebDAV并获取Shell

互联网无疑改变了我们的工作和交流方式。随着技术的进步，越来越多的人可以在世界的任何地方通过web进行协助工作。这种对远程友好的环境固有地带来了安全风险，并且黑客一直在寻找方法来将系统用于其他用途。We...

09月06日386 views评论

阅读全文

一周威胁情报概览（8.29-9.4）

本周值得关注的威胁情报：APT情报01Oilrig组织中东地区最新攻击活动的关联分析发布时间：2020年9月1日情报来源：https://mp.weixin.qq.com/s/Gqa5mLLcSUCN...

09月04日安全新闻220 views评论

阅读全文

在线咨询

微信