规则配置 首先,WAF规则的定义是什么?从前面的内容可以看到,基本上,WAF处理http分为四个阶段:请求头部,请求内...
01月18日安全文章32 views评论injection
解码器
DVWA-SQL Injection (Blind)
8.SQL Injection (Blind)1.SQL Injection (Blind)(Low)相关代码分析可以看到,Low级别的代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞,同...
01月15日53 views评论dvwa
injection
反序列化网络安全综述——Fortinet、Citrix漏洞;另一个优步违规行为;在黑帽大会上破解NFT等。
我们的网络安全综述以Fortinet和Citrix产品中的一系列网络安全漏洞分别受到积极攻击的消息开始。这些攻击分别由FortiOS SSL-VPN中的内存损坏漏洞以及Citrix ADC和Citri...
01月10日56 views评论反序列化
网络安全
DVWA-Command Injection
2.Command Injection1.Command Injection(Low)相关代码分析<?php if( isset( $_POST[ 'Submit' ] ) ) {// Get ...
01月08日21 views评论injection
操作系统
【原创】记一次ctf实战—— 2017-赛客夏令营-Web-Injection V2.0
[huayang] 没想到还是解出来了 昨晚看见群里有人聊一个sql注入的题 瞟了一眼心想就这啊sqlmap专治不服 什么?有过滤,百度了一下sqlmap的过滤 就这,, 第二天 55555~ 哭jj...
01月08日27 views评论sqlmap
安全博客
【原创】记一次ctf实战—— 2017-赛客夏令营-Web-injection
题目有提示是sql注入 遇见这种直接sqlmap一梭子 这么简单? 对,就是这么简单 但是我们看看页面的文字 很明显这道题想让我们手撸(其实就是回显罢了) 奉陪! 既然有回显 我们来看看是整型还是字符...
01月08日17 views评论sqlmap
sql注入
LadonExp复现CVE-2022-24124 Casdoor SQL Injection
关于 CVE-2022-24124Casdoor 是一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,其 Web UI 支持 OAuth 2.0 / OIDC 和 SAML 身份验证。根...
01月06日153 views评论injection
参数
2023年11大必练网络攻防靶场!
Windows提权之bypass UAC 提权
0x00 UAC简介UAC:用户账户控制(User Account Control)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬...
12月30日283 views评论bypass
exploit
CVE-2021-21351:XStream反序列化远程代码执行漏洞简析
01漏洞概述XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。在 1.4.16 版本之前的 XStream 中,存在反序列化远程代码执行漏洞,漏洞编号为CVE-20...
12月16日151 views评论反序列化
远程代码执行漏洞
安全基础设施|Yaklang SQL Injection 检测启发式算法
前言在插件发布后许多师傅都使用了这款 SQL 注入检测插件,在使用过程中发现了很多问题,在这里也是十分感谢对插件提出改进意见的师傅们。师傅们反映的主要问题还是此类插件一个老生常谈的问题——误报。尤其是...
12月02日43 views评论sqlmap
基础设施
Weblogic Analysis Attacked by JNDI injection From CVE(part 4)
点击蓝字 / 关注我们前言接着前面的分析,这里主要是两个由JtaTransactionManager类的readObject方法调用过程中而造成的JNDI注入,其中第一个(CVE-...
11月23日28 views评论nsa
weblogic
13