3推荐

6490浏览

网络空间指纹：新型网络犯罪研判的关键路径

网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析，类似于传统刑事科学的指纹概念，每个网络犯罪活动站点都会在网络空间留下独特的特征。本文将重点介绍网络空间指纹的形成和采集方法，以及其在网络犯罪研判中的应用实践。同时，我们将通过实际案例分析，验证网络空间指纹在研判网络犯罪行为中的可行性和有效性。

• 1
• 风起 发布于 2024-03-22 09:33

22推荐

9476浏览

支付类漏洞挖掘技巧总结

支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多，奖励高，是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。

• 26
• 中铁13层打工人 发布于 2024-03-21 10:00

2推荐

5566浏览

BashFuck学习

一些RCE的别的利用方式

• 2
• 梦洛 发布于 2024-03-19 09:30

1推荐

5271浏览

浅学Filterchain

死亡杂糅代码，iconv转换

• 0
• 梦洛 发布于 2024-03-18 09:33

3推荐

7004浏览

实战 | 记某次逆向小程序解密及签名破解

这是之前做的一个项目，想着从小程序入手，当我打开burp抓到流量看到加密的数据包，以及sign签名参数的时候，我就知道接下来是一场硬仗要打了，看我如何一步步解密并破解签名，且听我娓娓道来。

• 8
• 小艾 发布于 2024-03-11 09:33

1推荐

5579浏览

SpringWeb中获取@PathVariable参数值的方式与潜在的权限绕过风险

在某些业务场景中，会获取@PathVariable 参数值，根据具体的角色权限来进行对比，以达到访问不同的数据的效果。浅谈SpringWeb中获取@PathVariable 参数值的方式与潜在的权限绕过风险。

• 1
• tkswifty 发布于 2024-03-05 10:00

0推荐

4921浏览

【PHP代码审计】Atutor2.2.4 CVE全复现

ATutor是一个开源基于Web的学习管理系统，2.2.4是目前的最新版本，我汇总了所有CVE进行复现，对国外站点PHP代码审计的学习有所帮助。

• 0
• pokeroot 发布于 2024-03-04 09:00

8推荐

15033浏览

JWT渗透姿势

JWT（JSON Web Token）是一种无状态认证机制，通过将用户身份和权限信息存储在令牌中，实现安全地在网络应用间传递信息。它具有跨域支持、扩展性和灵活性、安全性以及可扩展的验证方式等特点，成为现代应用开发中重要的认证和授权解决方案。

• 23
• Yu9 发布于 2024-02-23 09:32

1推荐

7168浏览

Jdbc Attack防护绕过浅析

对于Jdbc Attack，常见的防护主要是对拼接到jdbcUrl中的相关字段进行格式校验。浅析其中的绕过方式。

• 1
• tkswifty 发布于 2024-02-23 09:00

14推荐

12187浏览

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力，仍然会存在着一些局限性；为了克服这些局限性，使用自动化代码审计工具可以快速识别所有可疑漏洞的位置，从而提高审计的效率和准确性！

• 11
• Yu9 发布于 2024-02-22 09:00

1推荐

7941浏览

手把手掌握-弱类型比较漏洞

有配套独立讲解视频，后续发出

• 4
• Dnslog_95 发布于 2024-02-21 10:00

1推荐

7507浏览

Spring Data REST代码审计浅析

Spring Data REST是建立在Data Repository之上的，它能直接把resository以HATEOAS风格暴露成Web服务，而不需要再手写Controller层。客户端可以轻松查询并调用存储库本身暴露出来的接口。浅析其中的代码审计技巧。

• 0
• tkswifty 发布于 2024-02-20 09:00

1推荐

8931浏览

SpringWeb中获取路径前缀的方式与潜在的权限绕过风险

在实际业务中，为了防止越权操作，通常会根据对应的URL进行相关的鉴权操作。除了实际访问的资源路径以外，通过动态配置资源权限时，很多时候在数据库或者权限中台配置的鉴权请求路径通常还会包含路径前缀。浅谈SpringWeb中获取当前请求路径前缀的方式。

• 1
• tkswifty 发布于 2024-02-06 10:09

9推荐

10314浏览

SQL注入精粹：从0到1的注入之路

从客观角度来看，SQL 注入是因为前端输入控制不严格造成的漏洞，使得攻击者可以输入对后端数据库有危害的字符串或符号，使得后端数据库产生回显或执行命令，从而实现对于数据库或系统的入侵；从攻击者角度来看，需要拼接出可以使后端识别并响应的 SQL 命令，从而实现攻击

• 30
• 385 发布于 2024-02-05 09:00

2推荐

8911浏览

记一次普元Primeton EOS Platform反序列化漏洞的利用链报错问题调整

在某演练中，普元Primeton EOS Platform反序列化漏洞反序列化返回serialVersionUID对应不上的问题的一次调整，详细操作如下，为师傅们避坑

• 0
• 123彡 发布于 2024-02-01 10:00