params - 第 4 | CN-SEC 中文网

安全开发

vue单元测试：mock与替身技巧大全

来源：稀土掘金　　开篇先提一个问题，什么是 mock？，各位先想想。　　前一章节，我们详细了介绍了 vue 单元测试所用到的一些测试方法，但每一个测试 case,最终都会渲染出来真实的组件，再依据真实...

06月30日8 views评论

阅读全文

安全闲碎

现代化命令替代方案：dust

Dust🍁 尝试新的东西。简介 🧐🍁 dust 是一个du 的现代化替代。rust开发的 du 更直观版本。观感上更好看，显示更舒服。项目地址：https://github.com/bootand...

06月23日22 views评论

阅读全文

代码审计

某仿新浪外汇余额宝时间交易所审计

0x00 前言项目编号:10053 Fofa:请见文末! 0x01 前台任意文件读取在 /index/controller/Api.php 控制器的curlfun方法中存在curl_exec函数，...

06月20日99 views评论

阅读全文

安全文章

记第一次AWD与ISW之旅

文章来源：奇安信攻防社区文章链接：https://forum.butian.net/share/2950作者：Sakura501第一次打AWD，打得汗流浃背，学习到了很多；该篇文章是关于长城杯2024...

06月08日100 views评论

阅读全文

Apache OFBiz 目录遍历致代码执行漏洞（CVE-2024-32113）

01— CVE-2024-32113 POC： Poc-1POST /webtools/control/xmlrpc HTTP/1.1Host: vulnerable-host.comContent-...

05月26日安全漏洞105 views评论

阅读全文

代码审计

JAVA-不安全的反射-RCE

实际上这是一个老洞了，始于2021，今天拿出来，是因为遇到了，觉得有一定的学习价值，就拿出来分享了，大佬绕过~废话不多说，首先存在漏洞的点位是在一个叫JobInvokeUtil的类接下来先对代码进行一...

05月20日28 views评论

阅读全文

安全漏洞

用友U8 GRP SQL注入xp_cmdshell过滤绕过

红队攻防经常遇到用友XXE SQL注入xp_cmdshell被过滤。由于该洞(CNNVD-201610-923)并没有补丁，毕竟用友是去年才有的应急响应中心。xp_cmdshell执行会被过滤，双引号...

05月19日14 views评论

阅读全文

安全漏洞

CVE-2024-32113：Apache-OFBiz-目录遍历漏洞利用

介绍CVE-2024-32113 漏洞允许通过发送特制的 HTTP 请求在 Apache OFBiz 服务器上执行任意代码。在此请求中，攻击者使用参数../../../../../../etc/pas...

05月17日177 views评论

阅读全文

安全文章

黑名单过滤下为何还能无限制SQL注入

文章首发于奇安信攻防社区链接：https://forum.butian.net/share/29050x01 前言这周看到了某公众号发的springboot+vue实现的一个后台管理系统。阅读量还挺高...

05月13日25 views评论

阅读全文

安全工具

burpsuite_hack：SQL注入挖掘插件

介绍一款小众但是巨屌的SQL注入自动化判断工具。作者已经用它挖了好多注入了，个人认为是xia注入的plus版。该工具可以挖sql注入，ssrf。这里主要介绍sql注入功能，全部配置好了最后只需要...

04月29日146 views评论

阅读全文

安全漏洞

若依最新版后台RCE

若依定时任务的实现是通过反射调来调用目标类，目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御，但仍然可绕过！前言关于若依漏洞或者是审计的文章网上挺多的，本来就只是想写一下最新版4.7.8的...

04月22日146 views评论

阅读全文

WordPress和Typecho xmlrpc漏洞

一般大家都关注WordPress，毕竟用户量巨大，而国内的Typecho作为轻量级的博客系统就关注的人并不多。Typecho有很多借鉴WordPress的，包括兼容的xmlrpc接口，而WordPre...

04月20日安全博客27 views评论

阅读全文

vue单元测试：mock与替身技巧大全

现代化命令替代方案：dust

某仿新浪外汇余额宝时间交易所审计

记第一次AWD与ISW之旅

Apache OFBiz 目录遍历致代码执行漏洞（CVE-2024-32113）

JAVA-不安全的反射-RCE

用友U8 GRP SQL注入xp_cmdshell过滤绕过

CVE-2024-32113：Apache-OFBiz-目录遍历漏洞利用

黑名单过滤下为何还能无限制SQL注入

burpsuite_hack：SQL注入挖掘插件

若依最新版后台RCE

WordPress和Typecho xmlrpc漏洞

在线咨询

微信