CFI技术新探索，struct_san今日登场 一、背景C/C++开发的应用程序，长久以来存在内存破坏类的安全问题。当攻击者掌握了目标程序的漏洞后，就可以开发漏洞利用程序劫持目标程序的控制流。早期的漏洞利用是采用代码注入的方式，通... 2021-10-27 12:47:56 | 阅读: 28 | 收藏 | www.secpulse.com cfi 控制 攻击 漏洞

DoS？DDoS？这件事要从另一个D说起…… 在2000年年初，加拿大高中生Michael Calce通过一个分布式拒绝服务(DDoS)攻击，设法关闭了当时全球最主要门户网站之一雅虎(Yahoo)的服务。而在接下来的一周中，Calc... 2021-10-26 12:05:08 | 阅读: 26 | 收藏 | www.secpulse.com 攻击 网络 控制 分布式 安全

浅谈云上攻防——CVE-2020-8562漏洞为k8s带来的安全挑战 前言2021年4月，Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞，授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。通过查阅此... 2021-10-25 19:24:43 | 阅读: 28 | 收藏 | www.secpulse.com kubernetes 攻击 漏洞 8562 安全

Switch中省略了break语句导致的代码缺陷漏洞 1、什么是Switch中省略了break语句导致的代码缺陷?break语句通常用在循环语句和switch语句中。当break用于switch语句中时，可使程序跳出switch而执行sw... 2021-10-25 15:25:49 | 阅读: 41 | 收藏 | www.secpulse.com 安全 故意 悟空 不该

“东华杯”2021年大学生网络安全邀请赛暨 第七届上海市大学生网络安全大赛正式启动 为认真学习贯彻习近平总书记在网络安全和信息化工作座谈会上的重要讲话精神，发挥网络安全防护对信息化发展的保障作用，宣传普及网络安全知识，提高大学生网络安全防护意识和技能，增强大学生实... 2021-10-25 12:20:01 | 阅读: 51 | 收藏 | www.secpulse.com 安全 网络 攻防 信息

【漏洞预警】Oracle MySQL JDBC XML外部实体注入漏洞 1. 通告信息近日，安识科技A-Team团队监测到一则Oracle MySQL组件在JDBC过程中存在XML外部实体注入漏洞的信息，当前官方已发布受影响的补丁。对此，... 2021-10-22 17:32:32 | 阅读: 40 | 收藏 | www.secpulse.com 漏洞 信息 安全 注入 攻击

Switch中缺少default导致的代码缺陷 1、什么是Switch中缺少default导致的代码缺陷?switch用在编程中，如C语言中它经常跟case一起使用，是一个判断选择逻辑结构。其功能就是控制流程流转。switch语句的... 2021-10-22 15:53:08 | 阅读: 41 | 收藏 | www.secpulse.com 安全 相符 攻击者 攻击 数据

第五届强网杯青少年专项赛——线上选拔赛部分writeup 楼上大佬ddw战队WRITEUP一、 战队信息战队名称：楼上大佬ddw战队排名：24二、 解题情况三、 解题过程01 签到操作内容：下载附件，打开运行拿到flag... 2021-10-21 12:46:08 | 阅读: 30 | 收藏 | www.secpulse.com gmpy2 c2 n2 n1 powmod

Pin学习参考手册 使用的Pin版本：3.201. 简介Pin 是一个动态二进制插桩工具，支持 Linux*， macOS* 和 Windows* 操作系统以及可执行程序。Pin可以通过pintool... 2021-10-19 16:32:48 | 阅读: 28 | 收藏 | www.secpulse.com 指令 控制 etype imageload threadid

观安诚聘零信任产品经理 公司介绍上海观安信息技术股份有限公司(Information & Data Security Solutions Co., Ltd.)成立于2013年，是上海市高新技术企业、软件企业... 2021-10-18 18:43:20 | 阅读: 36 | 收藏 | www.secpulse.com 安全 信息 数据 信任 零信任

Web漏洞挖掘指南 -SSRF服务器端请求伪造 一、漏洞原理及触发场景0x1web服务器经常需要从别的服务器获取数据，比如文件载入、图片拉取、图片识别等功能，如果获取数据的服务器地址可控，攻击者就可以通过web服务... 2021-10-18 17:12:04 | 阅读: 61 | 收藏 | www.secpulse.com ssrf 漏洞 显型 数据 浏览器

一次不会代码的代码审计 前言由于小程序的便捷性，越来越多的应用迁移到了了小程序上，由此伴随着小程序上线前的日常渗透测试工作也开始增加。但小程序的测试中经常会遇到数据包被加密了，导致无法进行改... 2021-10-18 14:57:02 | 阅读: 28 | 收藏 | www.secpulse.com 加密 数据 加解密 安全 wxapkg

一篇文章弄懂session的两种存储方式 本文为合天网安实验室原创，转载请注明出处！根据官方文档我们可以看到，一共有三种存储方式：PHP序列化格式、PHP内部格式以及WDDX。如果不使用ini_set设置相关sessio... 2021-10-15 17:24:42 | 阅读: 45 | 收藏 | www.secpulse.com php username 键名 竖线 信息

微软10月漏洞补丁日修复多个高危漏洞 1. 通告信息近日，安识科技A-Team团队监测到一则微软10月漏洞补丁日修复多个高危漏洞的信息，当前官方已发布受影响的补丁。对此，安识科技建议广大用户及时升级到安全... 2021-10-15 15:38:47 | 阅读: 26 | 收藏 | www.secpulse.com 漏洞 microsoft windows 攻击 补丁

“绝地求生”：深信服EDR让新型勒索病毒Signer“落地成盒” 背景概述深信服终端安全团队捕获了一个新型的勒索病毒样本，被加密的文档后缀为.decaf。此勒索病毒的开发者为这个病毒做了伪造的数字签名，其目的可能是试图以此来躲过杀毒软件的查杀，因此安... 2021-10-15 15:21:38 | 阅读: 35 | 收藏 | www.secpulse.com 加密 病毒 勒索 数据 安全

一次任意密码重置漏洞挖洞剖析 前言：之前参加一家企业SRC挖洞，正赶上厂商搞活动，秉着有活动我就参加，有漏洞我就捡的良好心态，就去看了一下该企业的一些资产，因为活动是按漏洞危害等级给奖励，所以找一些边缘资产参加活... 2021-10-14 16:51:29 | 阅读: 36 | 收藏 | www.secpulse.com 账号 漏洞 火线 挖洞 安全

不安全的反射漏洞缺陷 1、 什么是不安全的反射漏洞?反射这一概念最早由编程开发人员Smith在1982年提出，主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注，各... 2021-10-14 16:13:59 | 阅读: 34 | 收藏 | www.secpulse.com 安全 攻击 攻击者 漏洞 编程

autoload魔术方法的妙用 __autoload魔术方法从PHP7.2.0开始被废弃，并且在PHP8.0.0以上的版本完全废除。取而代之的则是spl_autoload_register，但是本文还是研究__aut... 2021-10-14 15:18:55 | 阅读: 28 | 收藏 | www.secpulse.com php autoload 魔术 payload vulhub

web漏洞挖掘指南-前端跨域漏洞 一.何为跨域1.设想一种场景，一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面，高度和宽度的设置和真实的银行官网一样，当用户访问恶意网站并登录时，攻击者就可... 2021-10-13 14:46:44 | 阅读: 48 | 收藏 | www.secpulse.com 数据 漏洞 jsonp 同源 信息

PHP代码审计之漫画CMS 最近一直在学习代码审计的相关课程，也在找一些通用的CMS在练习，刚好在安全群里认识了一位志同道合的道友，于是就一起研究学习，前期还是不怎么太会，所以也一直两个人相互传授经验和交流，不... 2021-10-12 16:28:13 | 阅读: 42 | 收藏 | www.secpulse.com 数据 备份 php 数据库 加密