作者介绍:杨秀璋自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多陌...
工具|CTF比赛、web渗透、内网、逆向工具包 常用渗透漏洞poc、exp (附下载地址)
声明:工具仅用于技术研究,请勿用于非法用途。一、CTF工具包MiscStegsolveCryptoCTFcrackmosimima(摩斯解密)superdic(编码转换)编码转换进制转换WebHack...
ICMP隧道进行文件传输 - 一个学习的case
在最近的一个渗透测试项目中,我们遇到的一种情况,服务器上不允许出站流量。只有ICMP(和DNS)的流量被允许。在这篇博客文章我们来讨论如何使用ICMP隧道传输一个未被过滤的数据。设定一个场景,场景是一...
Web3 里的几个安全陷阱(一)
玩 Blockchain/Crypto/Web3 常见到的几个安全陷阱:1. Code Is Law2. Not Your Keys, Not Your Coins3. In Blockchain W...
Web基础技术|JWT(Json Web Token)认证
目录JWT简介JWT数据结构JWT头部JWT有效载荷JWT签名JWT用法JWT验证流程JWT问题与趋势JWT安全风险JWT简介Web服务使用最多的认证方式是基于Session的认证https://bl...
Web基础技术|认证与会话管理
认证与会话目录认证与授权我是谁(Who am I?)单点登录我能干啥(What Can I Do?)垂直权限管理水平权限管理认证与授权认证与授权是应用中最重要的两个功能点。认证(Authenticat...
Java代审6:XSS和SSRF
0x01 XSSXSS(Cross Site Scripting) 跨站脚本攻击,攻击者插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户...
5个顶级异步Python框架
来自公众号:Python之禅Python在3.4引入了 asyncio 库,3.6新增了关键字 async和await,此后,异步框架迅速发展了起来,性能上能和Node.js比肩,除非是CP...
某杀猪盘渗透测试
最近偶然发现一个虚拟货币买涨跌的杀猪盘,遂进行了一波测试,前台长这样。为thinkphp5.0.5随用RCE进行打入,成功写入webshell。s=index|thinkapp/invokefunct...
CVE-2022-23131——绕过 SAML SSO 身份验证
0x01 漏洞描述安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现,它允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是...
【最新漏洞预警】CVE-2021-35232 Solarwinds Web Help Desk一个鸡肋的HQL注入漏洞
关注公众号回复“漏洞”获取研究环境或工具漏洞信息Solarwinds Web Help Desk 12.7.7 Hotfix 1以前版本存在一个硬编码用户凭证,导致能够本地执行任意 Hibernate...
红队攻防之构建通道漫游内网
点击蓝字 关注我们声明本文作者:CKCsec安全研究院本文字数:1660阅读时长:10 分钟项目/链接:文末获取本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载前言当我...
125