render | CN-SEC 中文网

安全文章

突破限制模式：Visual Studio Code 中的 XSS 到 RCE

2024 年 4 月，我发现了 Visual Studio Code（VS Code <= 1.89.1）中一个高严重性漏洞，该漏洞允许攻击者将跨站点脚本 (XSS) 漏洞升级为完全远程代码执行...

05月22日17 views评论

阅读全文

安全开发

抖音renderD128系统级疑难OOM分析与解决

1.背景抖音长期存在renderD128内存占用过多导致的虚拟内存OOM，且多次出现renderD128内存激增导致OOM指标严重劣化甚至发版熔断。因受限于闭源的GPU驱动以及现场有效信息极少，多个团...

05月06日11 views评论

阅读全文

安全文章

nginxWebui后台任意文件读取漏洞&rce分析-0day&nday

免责声明免责声明：文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用文中所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担。关注公众号，输入“学习交流”加入交流群觉得不...

04月25日17 views评论

阅读全文

CTF专场

【buuctf】[护网杯]easy_tornado

[护网杯]easy_tornado访问url：http://27144826-6551-4fbe-8d5a-348db2ffd239.node3.buuoj.cn/打开页面发现三个链接依次打开发现各...

04月23日14 views评论

阅读全文

安全文章

DC-1,一台和蔼可亲的靶机。Drupal7，msfcve-2018-7600漏洞利用，隧道建立，SUID提权

一、信息收集1、主机探测arp-scan -l探测同网段2、端口扫描nmap -sS -sV 192.168.66.136这里三个端口，有个ssh可能会爆出来，80端口访问，先后台扫描目录3、目录扫描...

04月21日12 views评论

阅读全文

安全文章

技术分析：GitHub OAuth钓鱼攻击，利用安全警报Issue窃取开发者权限

近日，GitHub 平台爆发大规模钓鱼攻击。攻击者通过向近 12,000 个仓库发送伪造的“Security Alert”议题（Issue），诱骗开发者授权名为“gitsecurityapp”的恶意 ...

03月18日11 views评论

阅读全文

安全新闻

GitHub上的虚假安全警报问题利用OAuth应用劫持账户

更多全球网络安全资讯尽在邑安全一场广泛的网络钓鱼活动针对了近12,000个GitHub仓库，通过伪造的“安全警报”问题诱骗开发者授权一个恶意的OAuth应用，从而使攻击者能够完全控制他们的账户和代码。...

03月17日34 views评论

阅读全文

React系列-react中this指向-事件处理函数与事件对象

事件处理函数绑定DOM事件处理 addEventListener or onclick = function(){} 纯小写React元素也采用了类似DOM0标准中的事件属性定义的方法小驼峰JSX:...

02月15日安全文章9 views评论

阅读全文

React系列-条件渲染与列表渲染

条件渲染React没有像v-if、v-show这样的指令，需要使用JSX表达式组合而成与运算三目:判断表达式一定是false/null/undefined时才不会被渲染，0、空字符串、NaN则会显示...

02月15日安全文章7 views评论

阅读全文

人工智能安全

DeepSeek(R1) vs Gpt-o3-mini(-high)

昨儿看到 gpt 放出了 o3-mini 和 o3-mini-high 模型，用两年前问 gpt4 的漏洞 demo 丢给 dsr1 和 o3 测了下。问题：下面是一个 web 程序，其中可能存在一些...

02月05日109 views评论

阅读全文

代码审计

Flask代码审计从思路到实战

关注并星标🌟 一起学安全❤️作者：coleak 首发于公号：渗透测试安全攻防字数：18743声明：仅供学习参考，请勿用作违法用途目录Flask代码审计SQL注入命令/代码执行反序列化文件操作XXE...

02月05日18 views评论

阅读全文

CTF专场

赛题记录 | 2025西湖论剑两道WEB的一些思考

赛题记录 | 2025西湖论剑两道WEB的一些思考例题1: Python SSTI目标站点存在 SSTI, 通过命令执行, 拿到源码如下:from flask import Flask, reques...

01月19日24 views评论

阅读全文

突破限制模式：Visual Studio Code 中的 XSS 到 RCE

抖音renderD128系统级疑难OOM分析与解决

nginxWebui后台任意文件读取漏洞&rce分析-0day&nday

【buuctf】[护网杯]easy_tornado

DC-1,一台和蔼可亲的靶机。Drupal7，msfcve-2018-7600漏洞利用，隧道建立，SUID提权

技术分析：GitHub OAuth钓鱼攻击，利用安全警报Issue窃取开发者权限

GitHub上的虚假安全警报问题利用OAuth应用劫持账户

React系列-react中this指向-事件处理函数与事件对象

React系列-条件渲染与列表渲染

DeepSeek(R1) vs Gpt-o3-mini(-high)

Flask代码审计从思路到实战

赛题记录 | 2025西湖论剑两道WEB的一些思考

在线咨询

微信