name - 第 35 | CN-SEC 中文网

安全闲碎

网络安全自学篇（七）| 快手视频下载之Chrome浏览器Network分析及Python爬虫探讨

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！&n...

12月27日286 views评论

阅读全文

安全文章

渗透测试|利用Blind XXE Getshell(Java网站)

目录Blind XXE读取任意文件Getshell这是一道类似CTF的题目。话不多说访问链接，如下。于是随便输入任意数字，点击Create Account抓包重放，发现是XML提交的格式。于是乎想到了...

12月27日471 views评论

阅读全文

安全闲碎

OODA：一个提高检测速度与准确度的战术

本文通过模拟恶意软件使用Microsoft Sysinternals工具PsExec进行横向移动、主机与网络侦察，展示如何使用 OODA循环帮助提高检测速度与准确性。对于没有了解过 OODA 的人来说...

12月27日172 views评论

阅读全文

IoT工控物联网

物联网安全｜手把手带你制作恶意固件

今天我们来分享一篇在摄像头固件中加入后门并重新打包的文章今天我们选择的是一款Wyze摄像头，固件版本（demo_v2_4.9.5.36），后台回复<摄像头>获得下载地址首先使用binwal...

12月24日556 views评论

阅读全文

安全文章

手工注入基础-MySQL注入流程

生活不止眼前的苟且，还有诗和远方的田野，你赤手空拳来到人世间，为找到那片海不顾一切。——《生活不止眼前的苟且》背景：最近很多小伙伴问一些SQL注入很基础的问题，所以就想写一篇基础文章进行科普。什么是S...

12月24日112 views评论

阅读全文

安全文章

看我如何从外网直接拿下内网靶标

作者：Bughunter，文章来源：先知社区1.拿到目标制定策略进行信息收集某地攻防演练拿到演习目标后，进行了一波常规信息收集，打了一个靶标。发现靶标分数有点高还是打靶标来得快，于是对所有靶标进行分析...

12月24日138 views评论

阅读全文

移动安全

如何使用FRIDA-DEXDump实现dex内存数据的快速搜索与导出

关于FRIDA-DEXDumpFRIDA-DEXDump是一款功能强大的内存数据操作工具，该工具可以帮助广大研究人员轻松搜索或导出dex内存数据。功能介绍当前版本的FRIDA-DEXDump支持以下几...

12月23日221 views评论

阅读全文

安全文章

【Cheetah语言】使用Cheetah编写通达自动Getshell脚本｜通达OA v11.7 在线用户登录漏洞复现

跪求关注在看转发！本号更新不多，但是内容绝对丰富！跪求啊～在文章的顶部先说明，本文章所介绍的内容以及所附带的脚本仅供学习，如果存在有牟利行为，个人负责！！！仅用于学习娱乐，切勿用于非法用途!请于下载后...

12月22日169 views评论

阅读全文

安全漏洞

【漏洞分析】CVE-2021-35042 Django SQL注入

网安教育培养网络安全人才技术交流、学习咨询该漏洞是由于对QuerySet.order_by()中用户提供数据的过滤不足，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SQL注入攻击，最终造成服务...

12月22日170 views评论

阅读全文

代码审计

代码审计 | Zoho 从未授权访问到远程 RCE

本文作者：Z1NG（信安之路核心成员，擅长代码审计、红队技术）ZOHO ManageEngine ServiceDesk Plus（SDP）是美国卓豪（ZOHO）公司的一套基于 ITIL 架构的 IT...

12月20日251 views评论

阅读全文

CWE-486 使用名称来比较对象

CWE-486 使用名称来比较对象 Comparison of Classes by Name 结构: Simple Abstraction: Variant 状态: Draft 被利用可能性: Hi...

12月16日CWE(弱点枚举)75 views评论

阅读全文

CWE-45 路径等价：'file...name' （多个内部的点号）

CWE-45 路径等价：'file...name' （多个内部的点号） Path Equivalence: 'file...name' (Multiple Internal Dot) 结构: Simp...

12月16日CWE(弱点枚举)67 views评论

阅读全文

网络安全自学篇（七）| 快手视频下载之Chrome浏览器Network分析及Python爬虫探讨

渗透测试|利用Blind XXE Getshell(Java网站)

OODA：一个提高检测速度与准确度的战术

物联网安全｜手把手带你制作恶意固件

手工注入基础-MySQL注入流程

看我如何从外网直接拿下内网靶标

如何使用FRIDA-DEXDump实现dex内存数据的快速搜索与导出

【漏洞分析】CVE-2021-35042 Django SQL注入

代码审计 | Zoho 从未授权访问到远程 RCE

CWE-486 使用名称来比较对象

CWE-45 路径等价：'file...name' （多个内部的点号）

在线咨询

微信