ngx | CN-SEC 中文网

安全文章

OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 - CVE-2024-33452

发现与动机我第一次遇到这个 HTTP 请求走私漏洞是在为工作中的客户进行内部渗透测试时。意识到它的潜在影响后，我决定深入挖掘其根本原因，并发现它源于 OpenResty 中的 lua-nginx-mo...

03月30日19 views评论

阅读全文

安全文章

利用 AIxCC Nginx 漏洞：第一部分

这篇博文将分析Nginx AIxCC 中时间安全漏洞的可利用性。AIxCC是 DARPA 的一项竞赛，旨在使用 AI 查找代码库中的漏洞。参赛者不是在寻找 0day 漏洞，而是故意在现有代码库中添加漏...

03月02日13 views评论

阅读全文

HW&HVV

钓鱼演练方案分享与实践

钓鱼演练方案设计与实践近期客户有钓鱼演练方案需求，我们安服团队进行了方案设计与实施，给客户带来的直观效果极佳，所以作为一次案例进行分享。方案准备首先我们参考了文章甲方利用开源工具进行钓鱼演练...

02月16日36 views评论

阅读全文

安全文章

Lua项目下SSRF利用Redis文件覆盖lua回显RCE

0x1 软件安全攻防赛Lua Web项目 lua项目中script文件源码如下 ##LUA_START##-- 引入cURL库和Redis库local curl = require("cURL")lo...

01月13日9 views评论

阅读全文

安全文章

使用Lua脚本增强Niginx安全功能

Lua是一款轻量级的开发语言，主要用于增强应用能力的脚本编写，其中也包括Nginx这样的Web服务器。LuaJIT是非常快速的Lua解释器，能够快速解释Lua代码，非常适合Nginx这样同样高性能的应...

12月16日28 views评论

阅读全文

安全文章

中间件常见漏洞之Nginx

免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

11月13日73 views评论

阅读全文

安全闲碎

如何使用nginx精准禁止特定国家或者地区IP访问和设置白名单（回复粉）

需求：对网站的信息，比如某个访问节点不想国内或者国外的用户使用，禁止国内或者国外或者精确到某个城市的那种情况。解决方式：1.Cloudfalre来实现禁止特定国家的ip访问，比较简单，但是需要mone...

08月02日68 views评论

阅读全文

安全文章

Nginx后门集合整理

保姆级学习当前已知的Nginx后门简介目前的nginx后门根据加载方式来分有两类: 动态库模块(so module)和二进制nginx程序。顾名思义，动态库模块就是后门作为nginx模块(so ...

07月15日27 views评论

阅读全文

我发现了宝塔的未授权访问漏洞

接上篇文章，继过年，寒假期间闲着无事，过年又不想跑亲戚，又翻了翻宝塔的代码，再一次发现了重大漏洞。大过年还在看代码真是不容易，宝塔请给我广告费+代码审计费。整个宝塔 WAF 核心防护功能的代码写的确实...

02月18日安全新闻41 views评论

阅读全文

宝塔最新未授权访问漏洞及SQL注入

未授权访问 01 前言整个宝塔 WAF 核心防护功能的代码写的确实有点粗糙，代码组织方式不像一个成熟软件该有的架构，小 Bug 一眼望不到头，今天分享的是一个未授权访问漏洞，普通用户可以无视宝塔的随...

02月18日安全新闻83 views评论

阅读全文

【漏洞速递】宝塔最新未授权访问漏洞及sql注入

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

02月17日安全漏洞98 views已关闭评论

阅读全文

安全新闻

Nginx进行lua扩展，实现简易的攻击拦截（软WAF）

写在前面Nginx是一个主流的代理服务，之前记录过它的四层、七层代理。既然流量都经过Nginx了，那除了本身的Nginx日志，作为用户肯定也支持对请求信息进行操作。尤其是在安全领域，很多都是通过在代理...

12月27日33 views评论

阅读全文

OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 - CVE-2024-33452

利用 AIxCC Nginx 漏洞：第一部分

钓鱼演练方案分享与实践

Lua项目下SSRF利用Redis文件覆盖lua回显RCE

使用Lua脚本增强Niginx安全功能

中间件常见漏洞之Nginx

如何使用nginx精准禁止特定国家或者地区IP访问和设置白名单（回复粉）

Nginx后门集合整理

我发现了宝塔的未授权访问漏洞

宝塔最新未授权访问漏洞及SQL注入

【漏洞速递】宝塔最新未授权访问漏洞及sql注入

Nginx进行lua扩展，实现简易的攻击拦截（软WAF）

在线咨询

微信