position | CN-SEC 中文网

安全新闻

零时科技 || SorraStaking 攻击事件分析

背景介绍2025年1月4日，我们监测到多起针对 Ethereum 链上项目 Sorra 攻击事件，攻击hash为：https://etherscan.io/tx/0x6439d63cc57fb68a3...

01月15日3 views评论

阅读全文

安全文章

如何进行suo投毒

原理根据微软文档，.suo是CompoundFile类文件，在打开.suo文件时会调用VS Package上的LoadUserOptions方法，使用Structured Storage Viewe...

01月09日18 views评论

阅读全文

安全文章

某鹅浏览器中jcestruct协议原理分析

jcestruct是鹅厂自研的一个协议,本篇文章相对于全面的进行分析下实现过程及其分析的心得，本文仅以技术角度分析下某鹅浏览器采用该协议的优良性，希望更多的人能认识到除了json，protobuf...

12月11日17 views评论

阅读全文

HW&HVV

记一次hvv中供应链拿靶标的代码审计过程

前言地市级hvv，某下级单位研究院官网使用了这套cms，提取关键字在fofa查询，发现使用该程序的站点有300+，导出目标，使用目录扫描跑一下备份文件，结果不出所料，这么多站点总是有软柿子的拿到源码开...

11月21日12 views评论

阅读全文

HW&HVV

攻防|记一次hvv中供应链拿靶标的代码审计过程

原文首发：奇安信攻防社区https://forum.butian.net/share/3880某地市级hvv，某下级单位研究院官网使用了这套cms，通过供应链拿到源码，并开始了thinkphp3.2...

11月18日15 views评论

阅读全文

安全文章

【Burp】超全点击劫持漏洞实验总结

目录一、点击劫持 1、简述：二、构造基本的点击劫持攻击 1、简述：实验1:带有CSRF令牌保护的基本点击劫持三、使用预填充表单输入的点击劫持 1、简述：实验2：从URL参数预填充表单输入数据的...

11月15日19 views评论

阅读全文

安全文章

Tomcat CVE-2024-21733漏洞简单复现、分析

1 前言一句话概括这个漏洞，就是Tomcat在处理请求时不会清理缓冲区，由于某些原因，导致异常出现后标志位没有重置，进而导致异常堆栈抛出了没有被清理掉的缓冲区的数据本文主要介绍了异常是怎么产生的...

09月10日477 views评论

阅读全文

安全文章

加密货币量化分析学习记录一

个人理解如果在一个市场挣不到钱何不换个市场,加密货币属于虚拟经济,特点是市场多样性比如币种多,获利机会多。当然加密货币属于投资你也可以认为是生意,生意就是一买一卖，能获利,能在市场挣到钱懂的交易谋生。...

08月26日55 views评论

阅读全文

安全博客

sql注入时case when ... then ... else ...end 的应用

在基于时间的盲注的时候，一般使用的是if语句，如果符合条件就sleep，但是部分不能使用逗号的场景下，还可以使用case when #condition then ... else ... end语句...

04月20日9 views评论

阅读全文

代码审计

Yii反序列化链条学习与挖掘

前言在整理资料的时候，发现一套基于Yii框架二开的项目，去搜了一下相关信息，发现在phpggc项目里存在其中一条rce链,对应的编号应该是CVE-2022-41922。gadget地址：https:/...

04月09日35 views评论

阅读全文

安全文章

RedTeam工具隐蔽技术（二）

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

03月18日22 views评论

阅读全文

BurpSuite 攻击模式

BurpSuite Intruder 支持4种攻击模式. Sniper 狙击手, Battering ram 攻城锤, Pitchfork 干草叉和 Cluster bomb 集束炸弹. Snipe...

12月15日安全博客23 views评论

阅读全文

零时科技 || SorraStaking 攻击事件分析

如何进行suo投毒

某鹅浏览器中jcestruct协议原理分析

记一次hvv中供应链拿靶标的代码审计过程

攻防|记一次hvv中供应链拿靶标的代码审计过程

【Burp】超全点击劫持漏洞实验总结

Tomcat CVE-2024-21733漏洞简单复现、分析

加密货币量化分析学习记录一

sql注入时case when ... then ... else ...end 的应用

Yii反序列化链条学习与挖掘

RedTeam工具隐蔽技术（二）

BurpSuite 攻击模式

在线咨询

微信