location | CN-SEC 中文网

安全文章

【翻译】利用 100 个< iframe >的竞争条件，绕过正则表达式

挑战从开始/begin。我们输入姓名，点击提交，然后经过一个相当缓慢的旋转后，会收到一条问候信息。哦，还有五彩纸屑！🎉我们可以按下 Ctrl+U 查看页面源代码，发现所有逻辑都隐藏在中/scrip...

05月18日3 views评论

阅读全文

安全文章

如何hook location相关的方法

如何hook location相关的方法浏览器hook函数或对象方法时，需要有一个前提条件，即这个方法是可修改的。例如hook JSON.stringifylet _rawstringify = JS...

04月10日5 views评论

阅读全文

移动安全

『工具使用』静态分析移动应用收集个人用户信息权限的方法

点击蓝字关注我们日期：2025年4月9日作者：L-Noname介绍：静态分析移动应用收集个人用户信息权限的方法。0x00 前言本篇主要讲静态分析移动应用收集个人用户信息权限的方法，主要是通过Apkt...

04月09日8 views评论

阅读全文

安全工具

Wazuh检测SQL注入攻击

点击蓝字，关注我1.简介1.1 功能简介Wazuh 检测来自包含select union其他常见SQL注入模式的Web服务器日志的SQL注入攻击，SQL 注入是一种攻击，威胁参与者将恶意代码插入传输到...

04月09日9 views评论

阅读全文

程序逆向

PE攻击之傀儡进程与重定位

1PE注入概念PE注入目的是“偷天换日”，把“坏程序”映射到“好进程”的内存中，并最终执行“坏程序”的代码。我们把实现这个过程的工具叫做PE注入工具，它会模拟 Windows 映像加载程序的功能，实现...

04月06日9 views评论

阅读全文

安全文章

【海外SRC实战】硬刚世界500强企业WAF，连斩两枚海外XSS

01前言分享两个海外大型SRC厂商的XSS成功绕过WAF的案例，觉得挺有趣的，遂整理成文，大佬们轻喷~02XSS绕过01某全球顶级网络设备商首先，URL是这样的https://axxx.test.co...

04月06日22 views评论

阅读全文

安全文章

海外实战系列

04月06日14 views评论

阅读全文

程序逆向

探索现代 Windows 内核类型混淆漏洞

【翻译】0x06 - Approaching Modern Windows Kernel Type Confusions在上一篇教程中，我们利用了 Windows 7 (x86) 内核中的类型混淆漏洞...

03月21日2 views评论

阅读全文

安全文章

JS逆向系列19-无感绕过一类运行时间差反调试

0x00 前言在开始正文之前，我想先和大家讲一件我去年下半年专注过的一件事。经常看我文章的读者朋友应该都知道，我有一段时间特别专注于绕过location的一些属性和方法，例如location.href...

03月19日5 views评论

阅读全文

安全文章

【web安全】短信轰炸排查思路分享

背景近期在进行短信轰炸的漏洞排查专项，所以对当下的短信轰炸进行排查的案例以及对排查方案进行总结。环境准备1. burp2. Ehole主题总结1、空格绕过的短信轰炸案例分享2、短信轰炸的排查方案示例3...

03月18日17 views评论

阅读全文

安全漏洞

泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞附POC

1. 泛微e-cology 9 x.简介泛微e-cology 9 x 2.漏洞描述泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等...

02月21日142 views评论

阅读全文

安全文章

记一次有趣的客户端RCE+服务端XXE挖掘nn

0x01 起因朋友给某甲方做渗透测试，奈何甲方是某知名保险，系统太耐艹，半天不出货兄弟喊我来一块来看，于是有了本文0x02 客户端RCE一处朋友把靶标发给我看了下，除了两个下载链接啥也没有链接下载下来...

02月16日12 views评论

阅读全文