扫一扫关注公众号,长期致力于安全研究0x01 前言本文主要讲解Tomcat通用回显中遇到的一些小问题0x02 代码分析全部代码如下,调用链在下方。不做过多讲解。WebappClassLoaderBas...
17小时前4 viewsapache
class
get评论
Tomcat通用回显的坑
17小时前4 viewsapache
class
get评论
17小时前4 viewsapache
class
get评论
Android嵌套Intent的隐患以及解决方案
翻译自 Nicole Borrelli 在 Medium 上的 post 《Android Nesting Intents》。你的 App 是否在某些...
19小时前2 viewsandroid
app
解决方案评论
CNVD-2018-01084 漏洞复现报告(service.cgi 远程命令执行漏洞)
本文为看雪论坛精华文章看雪论坛作者ID:winmt在CNVD平台上,关于CNVD-2018-01084的详细信息:D-Link DIR 615/645/815 service.cgi远程命令执行漏洞(...
05月23日2 viewsrequest
system
xml评论
通过实验理解“K8S的API聚合”
文章首发于:火线Zone社区(https://zone.huoxian.cn/)背景在K8s中,可以通过聚合层扩展 Kubernetes API。本文参考sample-apiserver项目的read...
05月21日8 viewsapi
server
v评论
Attack Surface Mining For AD CS
本篇文章大部分翻译并复现自 Will Schroeder(@harmj0y)和 Lee Christensen(@tifkin_) 在 2021 年的 BlackHat 大会上所发布的白皮书 《Cer...
05月20日3 viewscert
cs
证书评论
漏洞复现 | Atlassian Jira身份验证绕过漏洞
来自五眼联盟的全球最佳网络安全指导意见
背景现代的网络攻击者经常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施来获得受害者的初始访问权限,以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了...
05月18日14 viewsaccess
exploit
service评论
随便记记:Nessus Integration with Hashicorp Vault
抽了点空,画了一个Vault的Usecase, 先说下这个设计有四种方式(两种不同的认证方式和两种不同的凭证存储方式),最终选择了的是采用TLS Cert作为Vault的认证方式,然后用Op...
05月16日10 viewscert
service
tls评论
API攻防-接口安全上
闲话逼逼叨api渗透 文章可能偏少,教程也不是很多,视频更没有几个。但是迪哥他有啊,每一期都更新技术,刚好有这个api,就看了下,货真价实。去年工作中,的确碰到客户说 我们有几个接口,你会不会搞这个。...
05月15日16 viewsapi
web
xml评论
理解和应用安全概念-3.可用性
Availability means authorized subjects are granted timely and uninterrupted access to objects. ...
05月15日4 viewsaccess
object
service评论
Active Directory Domain Services权限提升漏洞 (CVE-2022-26923) 安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告近日,奇安信CERT监测到 CVE-2022-26963 Active Directory Domain Service...
05月14日137 viewsservice
攻击者
证书评论
K8S云原生环境渗透学习
K8S云原生环境渗透学习前言Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋...
05月13日11 viewsapi
kubernetes
server评论