param - 第 14 | CN-SEC 中文网

安全文章

CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析

漏洞介绍 Openfire是一个实时协作（RTC）服务器，编写于Java，它使用唯一被广泛采用的即时通讯开放协议XMPP，并提供Web管理界面。 Openfire的API定义了一种机制，允许使用通配符...

06月28日114 views评论

阅读全文

移动安全

解决Xposed hook不到加固的应用问题

VOL 153262023-6今天距2024年188天这是鸣谦安全第153次推文点击上方蓝字“鸣谦安全“关注我，周二，周五，每晚 19:00准时推送。微信公众号后台回复“资源”领取学习资料，...

06月26日166 views评论

阅读全文

安全文章

绕过高版本JDK限制的JNDI注入

在JDK 6u132 7u122 8u113开始，trustURLCodebase默认为了false，其实意思就是不能加载远程RMI代码了。本篇主要是讲解BeanFactory绕过方式//检索此引用引...

05月25日36 views评论

阅读全文

应急响应

安全服务之安全基线及加固（四）Tomcat篇

又到了木偶人哈克尔的笔记分享~有人期待嘛~安全服务工程师大家应该都知道，对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查...

05月16日76 views评论

阅读全文

安全新闻

病毒分析丨Linux挖矿木马

一概述相关样本经调查分析，本次攻击中的样本主要包括: •shell类: ·adxintrin_b & cronman 这两个she...

05月15日143 views评论

阅读全文

安全文章

禅道cms漏洞总结

点击上方蓝字关注安全知识引言禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周...

05月09日387 views评论

阅读全文

安全文章

从DesperateCat到EL webshell初探

通过RWCTF2022的一道web联想到的EL webshell简单实现与混淆0x0 RWCTF引发的思考前段时间结束的Realworld ctf里有一道题目DesperateCat，这道题目考察的是...

05月08日33 views评论

阅读全文

安全闲碎

我用GPT干的18件事！

作者：ㄣ知冷煖★ 链接：https://blog.csdn.net/weixin_42475060/article/details/129399125 你确定，你会使用 ChatGPT 了吗？今天给...

04月28日29 views评论

阅读全文

安全百科

【实用手册】目录索引漏洞

漏洞名称：目录索引漏洞漏洞级别：中危漏洞描述：自动目录索引是Web服务器的一个功能,当访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以...

04月23日41 views评论

阅读全文

安全文章

实战|记记录一次攻防演练中的代码审计两起挖矿木马排查

第一天在一次授权的攻防项目中，我和我的一个好兄弟在渗透过程中发现一个目标存在mssql注入，通过注入拿到了管理员的账号和密码当时我和我的好兄弟高兴坏了，迫不及待的把拿到的数据进行解密（当时天真认为可以...

04月07日30 views评论

阅读全文

安全工具

参数提取插件god_param

二开原因：日常做渗透测试时，参数提取至关重要，一个好的参数表。可以拿来结合批量fuzz更多想不到的功能点，且更加好的联动god_link插件。（god_link暂时不放出来）但是找了一圈，找到的参数提...

04月05日198 views评论

阅读全文

代码审计

Oasys 系统审计

目录环境搭建 sql注入 fastjson &n...

03月10日62 views评论

阅读全文

在线咨询

微信