WEB安全 - 推荐的文章 - 第4页

从RFC看如何使用Base64编码绕过WAF

本文将查看RFC4648对于base64编码的规范，并选取多种base64解码器分析其在实现上的不规范性，并如何通过这种不规范来绕过WAF。

3
3
donky16
发布于 2021-09-09 16:27:59
阅读 ( 7278 )

从PDO下的注入思路到Git 2000 Star项目0day

3
3
J0o1ey
发布于 2021-08-27 10:58:21
阅读 ( 5459 )

优雅地寻找网站源码(一)

# 优雅地寻找网站源码(一) ## 0x0 前言渗透过程中如果能获取到网站的源代码，那么无疑开启了上帝视角。虽然之前出现过不少通过搜索引擎查找同类网站，然后批量扫备份的思路，但是却没...

8
3
xq17
发布于 2021-08-09 13:31:31
阅读 ( 6924 )

web安全---第三方软件提权

**前言** 在入侵过程中，通过各种办法和漏洞，提高攻击者在服务器中的权限，从而以便控制全局的过程就叫做提权。例如：windows系统--->user(guest)--->system;Linux系统--->user---&g...

3
3
和风
发布于 2021-07-09 15:56:51
阅读 ( 5452 )

三种针对JSON Web Tokens的新攻击方式

本文是笔者阅读BLACK HAT-2023中《Three New Attacks Against JSON Web Tokens》这篇paper学习后所写的笔记，涉及到相关的原理知识、3种新的JWT攻击姿势和复现过程。

3
2
fengsec
发布于 2024-04-11 09:37:29
阅读 ( 3190 )

粉碎状态机:Web条件竞争的真正潜力

blackhat 2023中有一篇议题《Smashing the state machine: The true potential of web race conditions》中介绍了利用单数据包进行条件竞争这么一个新技术，并且提供了很多的Lab来练习。本文记录的是我阅读议题的paper进行学习和做Lab的过程，部分段落翻译自议题的paper。

1
2
fengsec
发布于 2024-03-28 09:00:02
阅读 ( 5176 )

BashFuck学习

一些RCE的别的利用方式

2
2
梦洛
发布于 2024-03-19 09:30:00
阅读 ( 4626 )

记一次普元Primeton EOS Platform反序列化漏洞的利用链报错问题调整

在某演练中，普元Primeton EOS Platform反序列化漏洞反序列化返回serialVersionUID对应不上的问题的一次调整，详细操作如下，为师傅们避坑

0
2
123彡
发布于 2024-02-01 10:00:01
阅读 ( 7355 )

Ciscn初赛WP

Web unzip 构造软连接： ln -s / .binbin zip --symlinks root.zip .binbin 上传压缩包，解压再利用软连接.binbin,生成一个可以自动解压到 .binbin/var/www/html/binbin.php的压缩包，binbin...

1
2
binbin
发布于 2023-05-31 09:00:00
阅读 ( 6283 )

从漏洞与ctf中学习webshell的免杀

漏洞的反利用以及goto的bypass

2
2
suansuan
发布于 2022-06-28 09:37:35
阅读 ( 6522 )

Serverless扫描技术研究及应用

大家好，我是风起，本次给大家分享的是Serverless扫描技术也是我在SecTime沙龙演讲时讲到的一种隐匿扫描技术，通过Serverless（云函数）实现各种扫描器探测功能，以达到绕过态势感知、WAF等安全设备，增大蓝队研判人员溯源难度，实现封无可封，查无可查的效果。希望大家通过阅读本文能够有所收获，那么下面由我来给大家揭秘这个有趣的攻击方式吧。