name - 第 34 | CN-SEC 中文网

php变量覆盖问题

通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。导致该漏洞的场景有: $$使用不当，extract()函数使用不当，parse_str()函数使用不当，import_request_v...

01月06日安全博客147 views评论

阅读全文

CTF专场

萌新赛-假赛

> > 萌新赛-假赛 yuchoxuuan 1。据说我的解法又是非预期。。。晕死了看来我真不适合做web。一上来先看到代码，大意是登录之后如果你是admin，然后带一个符合正则表达式的参...

01月05日62 views评论

阅读全文

安全文章

原创|尝一尝PentesterLab（上）文末福利

01前言这是被大佬推荐的一个适合新手的练习平台，听大佬说把这个练习平台做完后会对常见的漏洞有进一步的认知，一直也没有想起来做一做，现在沦为hw值班工具人了，有空做一做，哈哈，废话不多说，进入正题02P...

01月05日77 views评论

阅读全文

CWE-289 使用候选名称进行的认证绕过

CWE-289 使用候选名称进行的认证绕过 Authentication Bypass by Alternate Name 结构: Simple Abstraction: Variant 状态: In...

01月05日CWE(弱点枚举)45 views评论

阅读全文

CWE-224 通过候选名称导致的安全相关信息混淆

CWE-224 通过候选名称导致的安全相关信息混淆 Obscured Security-relevant Information by Alternate Name 结构: Simple Abstra...

01月05日CWE(弱点枚举)37 views评论

阅读全文

安全闲碎

索引下推，这个点你肯定不知道！

来自公众号：艾小仙索引下推(Index Condition Pushdown) ICP 是Mysql5.6之后新增的功能，主要的核心点就在于把数据筛选的过程放在了存储引擎层去处理，而不是像之前一样放...

12月31日93 views评论

阅读全文

安全文章

xmlrpc暴力破解脚本[wordpress爆破]

from：https://forum.90sec.org/forum.php?mod=viewthread&tid=8820用处：wordpress后台暴力破解脚本需要requests模块。#...

12月31日296 views评论

阅读全文

安全文章

渗透基础 WMI 学习笔记

0x01 前言随着技术的更新换代，很多技术在Windows系统中被引进和弃用，但是有一种非常强大的技术却保留了下来，自Windows NT 4.0和Windows 95开始就一直延续下来，那就是Win...

12月31日89 views评论

阅读全文

安全文章

Web漏洞|条件竞争漏洞

“竞争条件”是什么？竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行，但他们忽视了并行服务器会并...

12月30日124 views评论

阅读全文

安全文章

干货|一篇文章入门Oracle注入建议收藏

oracle基础学习写在前头，本文是我在学习Oracle注入时做的笔记加以整理所作的分享，由于在面试中被问过几次，并不是很难的东西，总是被问住，所以决定抽一些时间彻底学习一遍。一些基本语法与Mysql...

12月29日227 views评论

阅读全文

代码审计

记一次对某系统的审计（Java审计）

序言偶然拿到一款基于Spring开发的建站系统，简单看了看Web.xml，发现Servlet前面存在一个全局安全过滤，然后得到路由为Controller/方法名.do，接着直接定位到Class文件中，...

12月29日121 views评论

阅读全文

安全文章

XML实体注入漏洞的利用与学习

From:http://uknowsec.cn/posts/notes/XML%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E7%9A%...

12月29日130 views评论

阅读全文

php变量覆盖问题

萌新赛-假赛

原创|尝一尝PentesterLab（上）文末福利

CWE-289 使用候选名称进行的认证绕过

CWE-224 通过候选名称导致的安全相关信息混淆

索引下推，这个点你肯定不知道！

xmlrpc暴力破解脚本[wordpress爆破]

渗透基础 WMI 学习笔记

Web漏洞|条件竞争漏洞

干货|一篇文章入门Oracle注入建议收藏

记一次对某系统的审计（Java审计）

XML实体注入漏洞的利用与学习

在线咨询

微信