id - 第 36 | CN-SEC 中文网

移动安全

实战 | 记一次X信小程序漏洞挖掘

大家好，今天给大家整个小程序的渗透测试，首先把我们的模拟器和Burp配置好，网上有很多文章，不懂的朋友可以去网上搜下怎么配置模拟器抓包这里我就不多说了小程序如何抓包可以参考下面这篇文章干货 | 最全A...

06月07日389 views9

阅读全文

安全文章

gitlab漏洞系列-文件模板项目ID泄露

背景复现步骤声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景 ashish_r_pad...

06月06日30 views评论

阅读全文

应急响应

溯源反制案例分享（一）

蜜罐设计蜜罐的初衷就是让黑客入侵，借此收集证据，攻击者踩到蜜罐则是溯源最幸运的一种情况。见以下案例。某个风和日丽的午后，17:17开始收到安全设备告警，捕捉到攻击者的陆续攻击行为：好巧不巧，IP地址 ...

06月04日329 views评论

阅读全文

安全开发

C程序课程设计之航班订票系统

前两天忙着改Paper的参考文献，今天终于搞定了，稍微舒了一口气，预祝我的Paper能够顺利发出。今天早上要给大一的学弟讲C课程设计---航班订票系统。无奈时间不够，昨晚八九点才空下来有时间写代码，匆...

06月01日2 views评论

阅读全文

CTF专场

BUUCTF [CSAWQual 2016] i_got_id-解题步骤详解

考点： Perl后端文件上传传入ARGV的文件，Perl会将传入的参数作为文件名读出来启动环境：有三个链接，依次点击查看：输入框尝试了一些简单注入，并无结果，查看文件上传点，其提...

05月24日15 views评论

阅读全文

安全文章

SRC漏洞挖掘与最重要的环节——信息收集

SRC挖掘有很多平台，比如EDUSRC，比如公益SRC：补天、漏洞盒子等，还有就是一些企业SRC。对于挖掘src的小伙伴来说第一步都是对资产进行收集，所以本篇文章首先介绍一下SRC的上分思路，然后会具...

05月24日105 views评论

阅读全文

CTF专场

[网鼎杯 2020 青龙组]notes-解题步骤详解

一道原型链污染的题https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940undefsafe函数在2.03版本下会产生漏洞题目源码：var express = req...

05月20日248 views评论

阅读全文

代码审计

javaweb代码审计记录(三)

欢迎转发，请勿抄袭一、前言项目代码源自炼石计划的代码审计系统三二、使用到的工具 &...

05月16日54 views评论

阅读全文

安全开发

Python做个网站，显示世界各地的主题公园分布

来自公众号：萝卜大杂烩在各个长假期间，各类主题公园都是人们前往游玩的热门地点，今天我们就来看看世界各地主要的主题公园的分布情况我们先来看看最后的效果下面我们来具体看看是如何制作的吧数据来源首先就是数据...

05月15日26 views评论

阅读全文

取证分析

干货 | 电子取证之提取本地PC所有的微信信息, 包括微信ID和手机号脚本

0X00 原理原理就是，读取本地微信文件夹中的config目录下的AccInfo.dat文件AccInfo.dat文件内容如下图这个Dat文件中包含了手机号，微信ID，微信号，昵称和城市，绑定邮箱等信...

05月13日150 views评论

阅读全文

安全漏洞

一个漏洞影响数百万个物联网产品

漏洞危害某DNS爆出安全漏洞，攻击者可以利用该漏洞进行DNS中毒或DNS欺骗，并将受害者重定向到恶意网站而不是合法网站。研究人员通过查看物联网设备在其测试环境中执行的 DNS 请求跟踪发现该漏洞。他们...

05月13日21 views评论

阅读全文

安全闲碎

MySQL的索引为什么使用B+树而不使用跳表？

来自公众号：小白debug在我们的印象中，mysql数据表里无非就是存储一行行的数据。跟个excel似的。直接遍历这一行行数据，性能就是O(n)，比较慢。为了加速查询，使用了B+树来做索引，将查询性能...

05月12日27 views评论

阅读全文

在线咨询

微信