一文读懂Xpath注入与利用 扫码领资料获网安教程1.前言XPath注入是一种针对使用XPath（XML Path Language）的应用程序进行攻击的安全漏洞。XPath是一种用于在XML文档中定位信息的查询语言，类似于SQL... 2024-1-1 12:0:48 | 阅读: 8 | 收藏 | 白帽子左一 college 注入 漏洞 爆破 php

ATT&CK框架关于信息收集与资产梳理实战介绍 扫码领资料获网安教程MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻击者战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的... 2023-12-31 12:2:30 | 阅读: 10 | 收藏 | 白帽子左一 信息 攻击 攻击者 网络 数据

应急响应 | 企业安全开发生命周期（SDL）实践 扫码领资料获网安教程前言应急响应并不仅仅是对被黑的机器进行检查是否中了botnet病毒、是否被rootkit或者是否被挂了webshell等操作。实际上，它涉及到的技术含量非常高，包括如何定位问题、如... 2023-12-30 12:55:52 | 阅读: 9 | 收藏 | 白帽子左一 安全 漏洞 修复 威胁

python继承链搞事情 2023-12-29 12:2:25 | 阅读: 2 | 收藏 | 白帽子左一

JAVA RMI 反序列化流程原理分析 扫码领资料获网安教程这篇文章主要用于学习 RMI 的反序列化利用的流程原理，在网上搜了一大堆的 RMI 利用资料，大多仅仅是讲的利用方法，没有找到到底为啥能这么用，即使有些涉及到一些原理的文章，也写得... 2023-12-28 12:1:11 | 阅读: 7 | 收藏 | 白帽子左一 remote 跟进去 client 远程

不合理的使用OAuth，导致账号被分分钟登录 扫码领资料获网安教程原文在此->Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20(https://www.blackhat.com/... 2023-12-27 12:2:28 | 阅读: 9 | 收藏 | 白帽子左一 idp 信息 攻击 oauth2 sso

记一次通过代码审计完成的渗透 扫码领资料获网安教程这是一次针对某高校的授权安全测试，只给了目标学校的名字，所有资产自行收集。信息收集无非老三样，百度、子域名、C端。通过百度，我们找到了目标学校的域名example.edu.cn，首... 2023-12-26 12:1:10 | 阅读: 11 | 收藏 | 白帽子左一 setopt curlopt dirname 数据 thinkphp

记一次通过逻辑漏洞组合进入某公司股份管理后台的案例 扫码领资料获网安教程用到的工具：1、burp suite；2、fiddler一、打开公司官网二、进入XX管理系统漏洞一：信息泄露1、通过前端接口拼接发现信息泄露，包括姓名和手机号等信息漏洞二：密码重置... 2023-12-25 12:1:48 | 阅读: 30 | 收藏 | 白帽子左一 漏洞 信息 安全 渗透 挖掘

写一个POC的过程思路参考 扫码领资料获网安教程本文主要参考来源如下https://www.freebuf.com/articles/web/230871.htmlhttps://www.cnblogs.com/L0ading/... 2023-12-24 12:3:39 | 阅读: 26 | 收藏 | 白帽子左一 漏洞 xray rboundary 渗透

突破前端加密方法总结 扫码领资料获网安教程如 https://yyy.xxx.com/assets/des/des.js对密码（123456）进行了前端加密传输。这里还需要从页面源代码找到加密方法的参数pip instal... 2023-12-23 16:3:30 | 阅读: 17 | 收藏 | 白帽子左一 pwd 加密 des elem payload

DNS Rebinding Bypass SSRF 扫码领资料获网安教程什么是DNS Rebinding？维基百科上是这样描述的：DNS重新绑定是计算机攻击的一种形式。 在这种攻击中，恶意网页会导致访问者运行客户端脚本，攻击网络上其他地方的计算机。 从... 2023-12-22 12:1:11 | 阅读: 12 | 收藏 | 白帽子左一 攻击 绕过 ssrf 漏洞 攻击者

solr XML外部实体注入(CVE-2017-12629-xxe) 扫码领资料获网安教程一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2017-12629环境2、启动CVE-2017-12629环境3、查看CVE-2017-12629环境4、访问CV... 2023-12-21 12:4:57 | 阅读: 11 | 收藏 | 白帽子左一 漏洞 12629 solr vulhub yii666

log4j2原理分析及漏洞复现- CVE-2021-44228 扫码领资料获网安教程0x01 log4j2简介Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本，相比于 Log4j，Log4j2 在性能、可靠性... 2023-12-20 12:3:41 | 阅读: 32 | 收藏 | 白帽子左一 jndi log4j2 攻击 漏洞 信息

fastjson反序列化 CVE-2017-18349 扫码领资料获网安教程免费&进群fastjsonfastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用jav... 2023-12-19 12:4:5 | 阅读: 16 | 收藏 | 白帽子左一 漏洞 parseobject 数据 payload

I DOC VIEW前台RCE分析 扫码领资料获网安教程免费&进群I DOC VIEW是一个在线的文档查看器，其中的/html/2word接口因为处理不当，导致可以远程读取任意文件，通过这个接口导致服务器下载恶意的JSP进行解析，从而... 2023-12-18 12:2:49 | 阅读: 12 | 收藏 | 白帽子左一 漏洞 渗透 火绒 grabutility 挖掘

Android App半自动化静态漏洞挖掘技术分析 扫码领资料获网安教程免费&进群一、前言在Android应用层安全研究领域，研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面，对手机厂商上千款的预置App开展批量的漏洞挖掘时，短时间... 2023-12-17 12:1:31 | 阅读: 16 | 收藏 | 白帽子左一 漏洞 扫描器 mobsf 挖掘 漏报

通达 v11.8前台文件上传&命令执行漏洞利用分析 扫码领资料获网安教程免费&进群api.ali.php任意文件上传影响版本v11.8漏洞复现过程：漏洞原理是通过文件上传上传一个json文件，再通过调用程序去解析json文件执行里面php语句首先需要上... 2023-12-16 12:2:41 | 阅读: 8 | 收藏 | 白帽子左一 php 漏洞 myoa comtype

红队网络基础设施建设 扫码领资料获网安教程免费&进群在设计红队的网络基础设施架构时，要考虑到否能够提供长期（数周、数月、数年）和稳定的响应服务。设计注意事项 (Design Considerations)功能分离 (Fu... 2023-12-15 12:1:27 | 阅读: 15 | 收藏 | 白帽子左一 c2 钓鱼 转向器 cobalt 流量

Juniper新洞CVE-2023-36845浅析 扫码领资料获网安教程免费&进群前言2023 年 8 月 17 日，Juniper 宣布了多个漏洞，包括：与防火墙 SRX 和 Switch EX 相关的 CVE-2023-36844、CVE-202... 2023-12-14 12:4:10 | 阅读: 29 | 收藏 | 白帽子左一 php juniper 漏洞 36845 sess

Apache Struts2 文件上传漏洞分析（CVE-2023-50164） 扫码领资料获网安教程免费&进群简述Apache Struts2 是一个开源的 Java Web 应用程序开发框架，旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。根据最新推送，检测到... 2023-12-13 12:2:47 | 阅读: 23 | 收藏 | 白帽子左一 param1 value1