**0x00** **前言** 数据库是存放数据的仓库。它的存储空间很大,可以存放百万条、千万条、上亿条数据。但是数据库并不是随意地将数据进行存放,是有一定的规则的,否则查询的效率会很低。当...
今天学习了下子域名接管漏洞,通过该漏洞可以接管目标子域名,让其显示我设置的任意页面,造成的危害,主要用于网络钓鱼,包括但不限于伪造钓鱼页面,还可以盗取 Cookie,伪造电子邮件等,
本文主要讲解Android-WebView中的一个漏洞点,从介绍WebView到成功利用。通过复现ByteCtf2021中的一道漏洞题来对知识进行巩固。
记录个人学习 NodeJS 原型链污染攻击的一些总结于思考
本文主要讲述在使用预编译时仍然可能存在SQL注入的情况
1、熟悉企业级完整应急响应流程 2、掌握企业级取证报告编写 3、有完整配套视频讲解 https://www.bilibili.com/video/BV1rr4y1H7LX?spm_id_from=333.337.search-card.all.click
# PP/PPL(s)背景概念 首先,PPL表示Protected Process Light,但在此之前,只有Protected Processes。受保护进程的概念是随Windows Vista / Server 2008引入的,其目的不是保护您的数据或凭...
## 0X01 背景 .NET反序列化漏洞里提及的核心Gadget:**ObjectDataProvider类**,封装于WPF核心程序集之一PresentationFramewor...
团队协作,我们打上了云,打进了IOT!
## 0x01 前言 兄弟们,火眼系列来了,想做很久了。我打算从火眼的第一篇文章【2016-3-21】开始,从头到尾逐字逐句解读,研判一波国外的安全人员是怎么分析恶意样本、甚至溯源的,此系列长期...
对学过去的几条 Java 反序列化链进行了一下梳理,包括 CommonsCollections1-7、CommonsBeanutils1、JDK7u21、ROME利用链,如有不认同的地方,请师傅指正,有其他想法的师傅们也可以联系我、告诉我。
第一次尝试CMS的代码审计
今天分析了几款网站爬虫开源工具,其主要作用是辅助安全测试人员,测试网站功能,发现网站漏洞,本着学习的原则,通过阅读源码的方式来学习其核心技术,从而有助于我们自身编写相关脚本,在实际的工作中应用它来提升工具效率。
对某IP广播系统的一次代码审计
在前面的文章中读过CobaltStrike的汇编代码,整体的思路就是用某种函数将shellcode加载到内存,然后跳到写入shellcode内存的地方执行
来骗!来偷袭!
Ebean是一个ORM框架,利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。
2022 BlueWhaleCTF WriteUp
无论是打点能力还是审计能力也好,在红蓝对抗中都有着至关重要的作用,hvv 背景下,我等脚本小子已经末路,不难看出后者已逐渐成为每个安全技术从业者需了解并掌握的必备技能,掌握后者往往也会...
xWin Finance闪电贷事件分析