response - 第 5 | CN-SEC 中文网

安全漏洞

Hoverfly /api/v2/simulation 存在任意文件读取(CVE-2024-45388)

0x01 组件介绍Hoverfly 是一个轻量的 API 服务模拟工具（有时候也被称作服务虚拟化工具）。使用 Hoverfly，您可以创建应用程序依赖的 API 的真实模拟。－创建可重复使用的虚拟服...

09月10日139 views评论

阅读全文

安全漏洞

华夏ERP全版本未授权RCE及内存马注入

1►前注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用...

08月30日90 views评论

阅读全文

安全文章

Net-NTLMv1加密降级攻击

写在前面在实际的渗透过程中，我们会遇到 lsass 进程被保护的情况，在这种情况中，我们无法使用mimikatz读取进程中存储的hash，于是就有了这个系列。这篇文章绝大部分的理论内容和两篇参考文档相...

08月22日48 views评论

阅读全文

安全博客

2019 DDCTF web writeup

这一届的比赛web题虽然脑洞略大，但是还是有很多收获的，记录一下滴一题大脑洞题……首先进去题目看到参数jpg后面有段字符串，很像base64尝试一下base64解密，又出来一段base64，再解密一...

08月18日13 views评论

阅读全文

安全文章

intigriti Easter XSS challenge

文章首发于先知前言国外的一个xss challenge(规定时间内做出可得一年的Burp Suite正版证书) JY7U10.png 题目分析主要的功能逻辑代码为script.js, 如下： 123...

08月18日12 views已关闭评论

阅读全文

安全文章

挖掘 AI 聊天机器人工作流程中的RCE

本文笔者将介绍在一个流行的聊天机器人平台上发现的价值4位数$的远程代码执行问题，让我们开始吧。介绍：近年来，人工智能聊天机器人在各行各业越来越受欢迎，它们提供高效的客户服务，增强用户参与度，并简化...

08月13日75 views评论

阅读全文

代码审计

红海云ehr任意文件上传分析

0x01 技术文章仅供参考学习，请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失，均由使用者本...

08月07日96 views评论

阅读全文

安全文章

JSRPC|看不懂加密方式？稳了！以金融为例且提供最终样板脚本

此文章只为学习而生，请勿干违法违禁之事，本公众号只在技术的学习上做以分享，通过现实的案例来实战锻炼水平，所有行为与本公众号无关。 02 前言针对请求接口加密/响应需要解密的情况，在使用Burp测试时...

08月07日35 views评论

阅读全文

安全开发

django集成pytest进行自动化单元测试实战

在Django项目中集成Pytest进行单元测试可以提高测试的灵活性和效率，相比于Django自带的测试框架，Pytest提供了更为丰富和强大的测试功能。本文通过一个实际项目ishareblog介绍d...

08月04日11 views评论

阅读全文

安全开发

开发基础 | SSM 整合 + VUE && CRUD

SSM 整合项目前后端分离开发, 前端框架 Vue + 后端框架 SSM前端框架 - Vue后台框架 - SSM (SpringMVC + Spring + MyBatis)数据库 - MySQL项目...

08月04日4 views评论

阅读全文

安全文章

VUE｜如何不使用Fuzz得到网站所有参数与接口？

访问某VUE站点，发现直接重定向要求从飞书登陆，立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因，把这个注释掉并保存，...

08月04日19 views评论

阅读全文

安全文章

纯手工渗透-看我如何挖掘数据泄露

好长时间没更新了，再不更新粉丝都掉了，其次没有好的题材，不知道更新什么了，今天这篇文章技术不高，主要是手法的跳跃。事情的起因如下去客户现场渗透，有些网络不通，做了限制，管控严格，不能开网络接入自...

08月01日22 views评论

阅读全文

Hoverfly /api/v2/simulation 存在任意文件读取(CVE-2024-45388)

华夏ERP全版本未授权RCE及内存马注入

Net-NTLMv1加密降级攻击

2019 DDCTF web writeup

intigriti Easter XSS challenge

挖掘 AI 聊天机器人工作流程中的RCE

红海云ehr任意文件上传分析

JSRPC|看不懂加密方式？稳了！以金融为例且提供最终样板脚本

django集成pytest进行自动化单元测试实战

开发基础 | SSM 整合 + VUE && CRUD

VUE｜如何不使用Fuzz得到网站所有参数与接口？

纯手工渗透-看我如何挖掘数据泄露

在线咨询

微信