5月25日-漏洞公告信息Vulnerability Name : Remote Blind SQL Injections in Inout Blockchain FiatExchangerProduc...
05月26日4 viewsmysql
sql
www评论
区块链 FiatExchanger 2.2.1 SQL 注入
05月26日4 viewsmysql
sql
www评论
05月26日4 viewsmysql
sql
www评论
[CVE-2016-5699] Python HTTP header injection in urllib/urllib2
0 概述Python2.x 3.x 的urllib/urllib2从数据解析到发包的整个流程中,均未对URL提供安全性过滤或检查.导致换行符可被插入到HTTP数据流,使攻击者可以注入额外的HTTP头和...
05月13日14 viewscve
http
python评论
常见渗透测试靶场
1.DVWA 作为新手,通常第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。 1、DVWA靶场可测试漏洞:暴力破解(Br...
05月12日23 viewsphp
源码
漏洞评论
渗透必备工具|sqlmap
今天和大家分享的是工具——sqlmap。想要获取sqlmap工具资源的小伙伴在公众号回复sqlmap自动获取即可。Sqlmap简介sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞...
05月10日15 viewsdata
sql
url评论
Django SQL injection CVE-2022-28346 analysis
前言最近在看CNVD时无意间看到两条关于Django的最新漏洞通告,随即打开看了一下.大概意思是说Django在2.2.28 版本之前的2.2版本、3.2.13版本之前的3.2版本、4.0.4版本之前...
05月05日60 viewscve
name
sql评论
Web 应用程序安全和 Pentest/CTF 的有用有效负载和绕过列表
点击上方蓝字“Ots安全”一起玩耍Every section contains the following files, you can use the _template_vuln folder t...
05月03日5 viewsctf
md
web评论
tcpdump黑名单字符绕过及防御方案
0x01前言对命令注入防御是采用危险字符过滤或者黑名单的方式,这样是否万事大吉?并不是,对于一些可以加选项的命令,会有意想不到的威胁。下面介绍tcpdump的危险字符黑名单的绕过及正确的防御方案介绍。...
04月26日10 viewsget
html
数据包评论
一个SQL Injection漏洞在SDL流程中的闯关历险记
前言众所周知,产生SQL注入漏洞的根本原因是SQL语句的拼接,如果SQL语句中的任何一部分(参数、字段名、搜索关键词、索引等)直接取自用户而未做校验,就可能存在注入漏洞。攻击者通过构建特殊的输入作为参...
04月23日16 viewssql
注入漏洞
渗透测试评论
CVE-2022-23305 Weblogic http RCE or Apache Log4j SQL Injection?
漏洞信息最近有小伙伴微信@我,提到Oracle官方在4月份补丁中发布了一个Weblogic http匿名RCE漏洞,编号CVE-2022-23305。在刷朋友圈时我也发现多篇漏洞预警文章中提到了这个漏...
04月22日35 viewscve
http
sql评论
每周蓝军技术推送(2022.4.16-4.22)
Web安全新型XSS向量https://portswigger.net/research/new-xss-vectors.net反序列化萌新入门--Json.Nethttps://mp.weixin....
04月22日18 viewscom
https
windows评论
第十八周/20220404 红队推送
【特别推荐】FORCEDENTRY: Sandbox Escapehttps://googleprojectzero.blogspot.com/2022/03/forcedentry-sandbox-...
04月05日21 viewscom
https
sql评论
干货|python安全和代码审计相关资料整理
代码注入、命令执行1.内置危险函数execexecfileeval2.标准库危险模块ossubprocesscommands3.危险第三方库Template(user_input) : 模板注入(SS...
03月01日57 viewscve
python
web评论