暂无介绍
浅谈任意邮件伪造漏洞的利用与防护。任意邮件伪造漏洞,是指攻击者可以通过此漏洞对网站管理人员或者运维人员发送钓鱼邮件,对相关人员进行钓鱼攻击,进一步获取网站或者服务器权限。
一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。
整理了一个以前分析的样本过程供大家探讨
2022年12月出的漏洞,影响很大但目前没有 CVE 编号,起源是某大佬在跳跳糖发的一篇文章,ThinkPHP 在开启多语言的情况下,存在文件包含漏洞,配合 pearcmd 可以 getshell
开发者使用 官方文件上传示例进行开发时,存在一个文件上传漏洞导致 getshell
Cacti 存在前台命令执行漏洞 CVE-2022-46169
实战中,有些环境是不出网的,就无法利用JNDI攻击,这里介绍下FastJson本地的利用方式。
分享一个比较新的 Donot 组织的样本分析过程
近期与朋友一起看的两个洞,Piwigo 的两枚 SQL 注入漏洞,二次注入的漏洞挺有意思的,在这里记录一下。
因为这个漏洞主要是存在与BN_mod_sqrt中,关键点在于需要构造一对特殊的a,p才能触发这个漏洞,这里主要是学习如何得到这一对特殊的a,p,涉及到Tonelli/Shanks算法的学习
Zoho ManageEngine ADAudit Plus XXE到RCE漏洞复现
前两天打祥云杯初赛的时候有一道很有意思的web题,其中涉及到了jwt伪造相关知识,多方查询找到了一个pyjwt包的CVE,编号为CVE-2022-39227,不过并没有详细的POC,所以就来自己分析一下这个漏洞
强网拟态预选赛2022WriteUp
最近总结了一下 Django 框架曾经出现的 SQL 注入漏洞,总共有七个 CVE ,分别都简单分析复现并写了文章,总体来说会觉得比较有意思,在这里分享一下。本篇文章是下篇。
就最近的NewStarCTF中的第三周和第四周的WEB题目进行详细分析,进行不同知识点的学习。
3 回答,0赞同
0 回答,0赞同