【Web实战】Oracle注入专题——注入注意点+排序注入绕过实战之踩坑篇
前言 今天这篇SQL注入的专题给到我们的Oracle数据库,它是甲骨文公司的一款关系数据库管理系统,其中在市面上的使用率也是很高的。因此这里有必要学习一下关于它的SQL注入的一些注意事项。我会...
- 3
- 0
- Johnson666
- 发布于 2023-11-28 09:00:02
- 阅读 ( 2842 )
Johnson666
【Web实战】记某次攻防演练之内网遨游
由客户授权的一次攻防演练,从外网钓鱼到内网遨游,也算是幸不辱命,攻击路径绘制了流程图,接下来会按照我画的攻击流程图来进行讲解。
- 10
- 7
- 小艾
- 发布于 2023-11-27 10:00:02
- 阅读 ( 3211 )
小艾
【Web实战】浅谈Reactor Netty HTTP Server目录穿越漏洞(CVE-2023-34062)
Spring官方近期披露了CVE-2023-34062,在 Reactor Netty HTTP Server 中,1.1.x 版本在 1.1.13 之前以及 1.0.x 版本在 1.0.39 之前存在安全漏洞。在特定情况下,攻击者可以通过发送一个特定的 URL 的请求来触发目录遍历攻击。
- 0
- 0
- tkswifty
- 发布于 2023-11-27 09:00:00
- 阅读 ( 15465 )
tkswifty
【Web】SysAid On-Prem Software CVE-2023-47246 目录穿越RCE
2023 年 11 月 8 日,SysAid 发布了一份公告,表示他们的本地服务器软件存在先前未公开的漏洞,并且发现了公开的野外利用,本文将对该漏洞进行分析,并给出利用方式。
- 0
- 2
- Y4er
- 发布于 2023-11-24 10:00:00
- 阅读 ( 14323 )
【Web实战】XXE漏洞
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
- 4
- 2
- 苏苏的五彩棒
- 发布于 2023-11-24 09:00:02
- 阅读 ( 15106 )
苏苏的五彩棒
【Web实战】浅谈Jersey中常见的鉴权措施
跟SpringMvc一样,Jersey也提供了类似过滤器和拦截器的功能,辅助进行类似鉴权类业务需求的开发。简单总结下Jersey中常用的鉴权措施。
- 0
- 0
- tkswifty
- 发布于 2023-11-23 10:00:01
- 阅读 ( 2152 )
【Web实战】ActiveMQ漏洞分析保姆教程(CVE-2023-46604)
ActiveMQ漏洞分析保姆教程(CVE-2023-46604) by 猫蛋儿安全团队
- 0
- 0
- 猫蛋儿安全团队
- 发布于 2023-11-23 09:00:01
- 阅读 ( 13185 )
猫蛋儿安全团队
记一次绕过waf的文件上传
在某次渗透测试中,发现了一个通用上传的点,但经过测试发现,该网站存在waf,但是最终绕过waf,成功拿到shell
- 7
- 7
- 中铁13层打工人
- 发布于 2023-11-22 10:00:02
- 阅读 ( 3726 )
中铁13层打工人
【Web实战】浅谈PlantUML回显SSRF漏洞(CVE-2023-3432)
PlantUML是一种开源的、用于绘制UML(Unified Modeling Language)图表的工具,对CVE-2023-3432的成因进行分析。
- 0
- 0
- tkswifty
- 发布于 2023-11-22 09:00:01
- 阅读 ( 12589 )
【Web实战】浅谈reactor netty httpclient请求解析过程
Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架,采用响应式编程模型,允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-11-21 10:00:01
- 阅读 ( 2162 )
【Web实战】零基础微信小程序逆向
本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。
- 12
- 8
- Believer
- 发布于 2023-11-21 09:00:02
- 阅读 ( 4677 )
任意用户登录漏洞挖掘思路
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。
- 25
- 13
- 中铁13层打工人
- 发布于 2023-11-20 10:00:00
- 阅读 ( 4589 )
【Web实战】一次有趣的RCEbypass
在对某樱花国渗透的时候发现一个RCE,经过多次测试后成功绕过限制拿到shell
- 3
- 3
- ZAC安全
- 发布于 2023-11-17 10:00:01
- 阅读 ( 3120 )
ZAC安全
【Web实战】阿里云手动接管云控制台(保姆级别教程不触发告警)
说到cli接管之前,首先得看明白阿里云官方文档,搞清楚具体流程和官方工具和api的调用方式,链接如下 https://next.api.aliyun.com/document/Ram/2015-05-01/overview
- 6
- 4
- 陌离sg009
- 发布于 2023-11-17 09:00:00
- 阅读 ( 4794 )
【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优
对通达OA11前台RCE的两个漏洞的分析与调优,本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途,严禁用于违法违规用途。
- 0
- 0
- zcy2018
- 发布于 2023-11-16 10:00:00
- 阅读 ( 2437 )
【Web实战】浅谈Spring中的Controller参数的验证机制
在应用程序的业务逻辑中,数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。
- 0
- 0
- tkswifty
- 发布于 2023-11-16 09:00:02
- 阅读 ( 2138 )
【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据
某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码,等相关敏感信息。为后续打下坚实基础
- 9
- 8
- Serein_V
- 发布于 2023-11-15 10:00:01
- 阅读 ( 3602 )
Serein_V
【Web实战】钓鱼手法及木马免杀技巧
钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭示敏感信息或执行恶意操作,能快速地撕破目标的伤口,快速进内网进行刷分,投递木马同时需要考虑逃避杀毒软件检测,本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开
- 10
- 7
- hyyrent
- 发布于 2023-11-15 09:00:02
- 阅读 ( 4041 )
hyyrent
曾哥
【Web实战】先锋马免杀分享
作者:凝 先看效果(文中附源码) 思路 1.shellcode自身免杀 首先cs生成一个bin文件 再没有二开的情况下落地就会死 那么如何处理呢? 可以通过对shellcode进行加密和编码的方式,然后在内存中进行...
- 14
- 22
- ning凝
- 发布于 2023-11-14 09:43:15
- 阅读 ( 6400 )