multipart | CN-SEC 中文网

代码审计

【实战攻防】攻防项目中的代码审计

前言在一些攻防项目中，除了一些常见的大型系统外，常常还会遇到其他一些相对小众的系统，而在打不动大型系统时，这些相对小众的系统往往是比较好的入口点，这些系统更容易通过代码审计找到一些漏洞，从而getsh...

06月23日23 views评论

阅读全文

安全文章

通过文件名 + CSRF 在联系我们的multipart/data表单上发起 Self-XSS

在本文中，我将讨论我用来攻击反射型跨站脚本 (RXSS) 的技术。这是我之前遇到的全新体验，也让我学到了很多。让我们开始吧。在我们的目标 target.com 中，有一个“联系我们”表单，其中包含一...

06月18日7 views评论

阅读全文

代码审计

攻防项目中的代码审计

原文链接:https://xz.aliyun.com/news/18075在一些攻防项目中，除了一些常见的大型系统外，常常还会遇到其他一些相对小众的系统，而在打不动大型系统时，这些相对小众的系统往往是...

05月29日37 views评论

阅读全文

安全文章

Tomcat Multipart类型参数处理

前言水一篇学习笔记，看这个话题最近挺火的。请求解析Tomcat在处理请求的时候会调用org.apache.catalina.connector.Request#parseParameters方法处理请...

05月27日29 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/4/25】

2025-04-25 微信公众号精选安全技术文章总览洞见网安 2025-04-25 0x1 Tomcat Multipart类型参数处理安全之道 2025-04-25 23:04:59 本文详细分析了...

05月26日21 views评论

阅读全文

安全文章

Spring 框架文件上传getshell思路扩展

Spring 框架文件上传getshell思路扩展前言文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所...

03月16日24 views评论

阅读全文

代码审计

代码审计 | 某系统存在文件上传漏洞

该漏洞与上一篇文章是同一个系统，因为时间不充裕一直没写，该漏洞主要是黑名单文件上传绕过，审计难度较为简单。一、漏洞挖掘挖掘流程：先黑盒找到文件上传功能，直接上传jsp文件。保存后显示文件上传成功...

03月10日65 views评论

阅读全文

安全漏洞

Spring Properties 远程代码执行

Remote Code Execution with Spring Properties Spring Properties 远程代码执行最近，一位以前的学生向我展示了一个非常有趣的 Spring 应...

12月09日36 views评论

阅读全文

安全文章

分解多部分解析器：绕过文件上传验证

基本上，所有multipart/form-data解析器都无法完全遵守 RFC，而在验证文件名或用户上传的内容时，总是有多种方法可以绕过验证。我们将针对 PHP、Node.js 和 Python 解析...

11月07日66 views评论

阅读全文

安全新闻

开源再爆雷，NPM JavaScript存储库暗藏后门

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了...

07月18日21 views评论

阅读全文

安全新闻

NPM JavaScript存储库暗藏后门

07月16日15 views评论

阅读全文

安全漏洞

【漏洞通告】Apache Struts 2拒绝服务漏洞安全风险通告

漏洞背景近日，嘉诚安全监测到Apache Struts 2中修复了一个拒绝服务漏洞，漏洞编号为：CVE-2023-41835。Apache Struts 2是一个基于MVC设计模式的Web应用框架，可...

05月19日30 views评论

阅读全文

在线咨询

微信