全部 - 推荐的文章 - 第35页 - 奇安信攻防社区

NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此，它们通常比 SQL 具有更少的关系约束和一致性检查，并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示，并且加入了一个不常见的数据库influxfDb的注入方式，可在CTF中出类似的题目。总的来说，nosql注入是较为灵活的。

0
1
梦洛
发布于 2024-04-07 10:03:39
阅读 ( 3870 )

深入浅出-Hash长度拓展攻击

hash加密是市面上流行的加密方法，那么此次就来分析下其中出现的安全漏洞吧！

3
1
梦洛
发布于 2024-03-29 10:00:00
阅读 ( 5116 )

代码审计入门篇-CVE-2018-14399

小白的代码审计入门!如果有误望大佬们帮忙指正:D

0
1
p1ng
发布于 2024-04-12 10:00:01
阅读 ( 11563 )

AI安全：生成式AI原理与应用分析

ai本质仍然被看作是一种“幻觉智能,而人应该更像人而非像马哲里面的被物化和异化的概念，人应该更像人才不会被机器所淘汰

1
1
洺熙
发布于 2024-03-27 09:33:23
阅读 ( 5068 )

帆软channel接口反序列化漏洞分析

通过帆软channel反序列化历史漏洞，学习二次反序列化绕过黑名单限制进行利用

1
1
fany
发布于 2024-03-26 09:00:01
阅读 ( 16878 )

CVE-2024-27198 JetBrains TeamCity身份验证绕过漏洞浅析

JetBrains TeamCity发布新版本(2023.11.4)修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。未经身份验证的远程攻击者利用CVE-2024-27198可以绕过系统身份验证，创建管理员账户，完全控制所有TeamCity项目、构建、代理和构件，为攻击者执行供应链攻击。远程攻击者利用该漏洞能够绕过身份认证在系统上执行任意代码。

0
1
Stree
发布于 2024-03-15 09:00:00
阅读 ( 3991 )

浅学Filterchain

死亡杂糅代码，iconv转换

0
1
梦洛
发布于 2024-03-18 09:33:22
阅读 ( 4324 )

JA 指纹识全系讲解-JA4+篇

JA4+ 首发于 2023 年九月，是 JA3/3s 的升级替代，它由早期针对 TLS 流量的指纹升级为多样协议的指纹识别方法，变为了指纹集，这也就是后缀带一个`+`的原因了

0
1
385
发布于 2024-03-08 09:32:14
阅读 ( 5765 )

一种 ysoserial.jar 反序列化Payload的解码

ysoserial大家平时多用于生成Payload，但是作为蓝队，我们更多的是想法子去解码Payload！

1
1
云影实验室
发布于 2024-03-05 09:44:33
阅读 ( 4939 )

西湖论剑phpems分析

对phpems的反序列化漏洞导致rce的分析

0
1
zcy2018
发布于 2024-03-06 09:00:02
阅读 ( 4103 )

SpringWeb中获取@PathVariable参数值的方式与潜在的权限绕过风险

在某些业务场景中，会获取@PathVariable 参数值，根据具体的角色权限来进行对比，以达到访问不同的数据的效果。浅谈SpringWeb中获取@PathVariable 参数值的方式与潜在的权限绕过风险。

1
1
tkswifty
发布于 2024-03-05 10:00:01
阅读 ( 4397 )

CVE-2024-22243与Java中常见获取host的方式

Spring官方近期披露了CVE-2024-22243，在受影响版本中，由于 UriComponentsBuilder 处理URL时未正确处理用户信息中的方括号，攻击者可构造包含方括号的恶意URL绕过主机名验证。如果应用程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验，则可能导致验证绕过，出现开放重定向或SSRF漏洞。本质上还是安全检查的工具类与组件库解析host发起请求的解析逻辑导致的绕过问题。

1
1
tkswifty
发布于 2024-02-27 10:00:02
阅读 ( 28526 )