username - 第 6 | CN-SEC 中文网

SecIN安全技术社区

emoji、shiro与log4j2漏洞

引言小黄脸emoji几乎每天在聊天的时候都会使用到，在某些waf bypass也会看到它的身影。 shiro、log4j2这两个组件应该都不陌生了，在...

04月15日87 views已关闭评论

阅读全文

代码审计

【创宇小课堂】代码审计-Fastjson各版本漏洞分析（上）

- 前言 -最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了，产生漏洞的原理也差不多理解了•在1.2.25之后的版本，以及所有的.sec01后缀版本中，autotype功能默认是受...

04月15日55 views评论

阅读全文

安全开发

代码安全

随着互联网深入到各行各业，越来越多的应用系统、网站等被人类通过网络连接、访问。如何保障系统、网站不会因黑...

04月06日48 views评论

阅读全文

未分类

某监控平台存在越权查看管理员用户密码

一.背景再三考虑还是分享一下出来，马赛克我打厚一点点，避免大家乱来，平时师傅们遇到渗透测试项目的时候可以试试这个方式一.过程 ...

03月18日99 views评论

阅读全文

安全文章

【内网渗透系列】- 获取windows hash的几种方式（文中附工具下载链接）

在内网渗透中，当攻击者获取到内网某台机器的控制权后，会议被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻...

03月17日489 views评论

阅读全文

安全文章

【Bypass】安全狗apache V4.0.23137 SQL注入绕过

✎ 阅读须知乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入...

03月16日130 views评论

阅读全文

安全文章

【概述】PHP网站后台的登录方法

说明：本文中涉及的网址域名均为作者在局域网中搭建的测试环境，不涉及任何外网资源，违法犯罪行为、警务秘密以及案件线索等。在新型涉网案件勘侦过程中，我们经常会遇到LNMP或LAMP等PHP网站架构。如“杀...

03月14日226 views评论

阅读全文

安全闲碎

Chrome浏览器取证分析

号外宽字节安全团队第一期线下网络安全就业班开班了，由宽字节安全团队独立运营，一线红队大佬带队，有丰富的漏洞研究、渗透测试、应急响应的经验与沉淀，干货多多，欢迎添加客服咨询。客服微信：unicodese...

03月08日56 views评论

阅读全文

安全文章

利用XSS获取用户明文账户密码

我们知道在浏览器存在这样一个功能，当用户登录成功了一个网页后，浏览器会提示我们是否保存密码。如果我们点击同意，那么浏览器就会将账户及密码进行保存。当我们退出账户再次访问登录页面的时候，我们会发现浏览器...

03月07日288 views评论

阅读全文

安全文章

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

0x01 前言今天微信群里一女装大佬给我私发了一个杀猪盘，说她朋友在这个平台上被骗了4W+，现在还有这么好骗的人吗？能不能先给我来一打！！！因为当时不确定能不能搞下来就没回她信息（其实已经在看了），不...

03月07日286 views评论

阅读全文

安全文章

从一次漏洞挖掘入门ldap注入

在最近的一次测试中，随缘摸到了一个sso系统，留给前台的功能只有登陆。没有验证码，但是登陆点强制要求每个用户更改强密码，而且除了管理员和测试账号其他大部分都是工号形式，所以不考虑撞库。直接fuzz一把...

03月04日289 views评论

阅读全文

安全文章

Seacms 8.7版本SQL注入分析

0x01 前言在t00ls看到一篇seacms8.7的分析文，不过不是最新的版本，好久没看到seacms和maccms这两个cms发新的漏洞了，那个过滤有点恶心。后来还在nosec看到一篇离新版9.0...

03月01日137 views评论

阅读全文

在线咨询

微信