0推荐

4732浏览

Struts2历史高危漏洞分析系列：(三)

尽管现在struts2用的越来越少了，但对于漏洞研究人员来说，感兴趣的是漏洞的成因和漏洞的修复方式，因此还是有很大的学习价值的。毕竟Struts2作为一个很经典的MVC框架，无论对涉及到的框架知识，还是对过去多年出现的高危漏洞的原理进行学习，都会对之后学习和审计其他同类框架很有帮助。

0
m01e 发布于 2021-08-31 17:19

1推荐

4597浏览

Struts2历史高危漏洞分析系列：(二)

尽管现在struts2用的越来越少了，但对于漏洞研究人员来说，感兴趣的是漏洞的成因和漏洞的修复方式，因此还是有很大的学习价值的。毕竟Struts2作为一个很经典的MVC框架，无论对涉及到的框架知识，还是对过去多年出现的高危漏洞的原理进行学习，都会对之后学习和审计其他同类框架很有帮助。

1
m01e 发布于 2021-08-31 17:18

1推荐

4584浏览

Struts2历史高危漏洞分析系列：(一)

尽管现在struts2用的越来越少了，但对于漏洞研究人员来说，感兴趣的是漏洞的成因和漏洞的修复方式，因此还是有很大的学习价值的。毕竟Struts2作为一个很经典的MVC框架，无论对涉及到的框架知识，还是对过去多年出现的高危漏洞的原理进行学习，都会对之后学习和审计其他同类框架很有帮助。

1
m01e 发布于 2021-08-31 17:18

0推荐

10063浏览

Nacos 认证绕过漏洞（CVE-2021-29441）及其补丁绕过分析

漏洞原理本身不复杂，但是整个分析过程、后续的补丁绕过，以及认证绕过的后续利用挖掘，还是很有意思，因此写这篇文章进行分析。

2
无糖发布于 2021-08-31 16:39

0推荐

4909浏览

openemr任意文件读取删除漏洞

OpenEMR 是最受欢迎的开源电子健康记录和医疗实践管理解决方案。 5.0.1版本后台存在任意文件读取和删除漏洞。

1
langke 发布于 2021-08-31 15:04

0推荐

4403浏览

免杀初探(二)

分享者才是学习中最大的受益者

1
略略略发布于 2021-08-31 14:05

0推荐

5660浏览

免杀初探(一)

# 前言在当今世界，杀毒软件从普通用户到最大的组织，大多数公司依赖杀毒软件作为抵御网络威胁的第一道甚至是最后一道防线。正因为如此，研究防病毒软件，发现其引擎中的漏洞，最重要的是，...

2
略略略发布于 2021-08-31 14:05

0推荐

4827浏览

XStream CVE-2021-21341拒绝服务漏洞漏洞分析

XStream是一个常用的Java对象和XML相互转换的工具。CVE-2021-21341是Stream是2021年爆出的一个拒绝服务漏洞分析。和常见的命令执行漏洞、JNDI注入漏洞不同，拒绝服务漏洞往往是代码逻辑上的漏洞，利用链构造十分巧妙，因此就来分析一下。

0
无糖发布于 2021-08-30 15:42

1推荐

5365浏览

代码审计-无回显SSRF的奇妙审计之旅

审计了一个php的无回显ssrf和getshell

2
XG小刚发布于 2021-08-30 10:08

3推荐

6803浏览

java中js命令执行的攻与防

研究java中利用js的命令执行

0
Tri0mphe 发布于 2021-08-25 16:15

1推荐

5142浏览

某CMS代码审计从前台注入到后台RCE

某CMS代码审计从前台SQL注入到后台RCE

1
Alivin 发布于 2021-08-25 15:54

0推荐

5390浏览

HisiCms代码审计

Cms官方网址 https://www.hisiphp.com/

1
化鱼hy 发布于 2021-08-25 10:38

0推荐

4629浏览

某CMS审计-模板注入导致getshell

第一次尝试自己审计代码，小白一个。审计了好长时间，终于皇天不负有心人，找到一处模板注入，最终发现一处代码执行。审计过程：采用关键函数溯源法来找的。全局搜索eval函数在e/class/...

0
ordar123 发布于 2021-08-24 18:34

0推荐

5224浏览

业务逻辑越权之水平垂直越权

# 一、概念理解 ### 1.什么是越权越权：越权访问（Broken Access Control，简称BAC）是我们在测试过程中遇到比较多的漏洞，该漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户...

0
ZHUZHU715 发布于 2021-08-24 14:07

1推荐

5588浏览

JNDI注入的产生及利用

## jndi有什么用 jndi是用于目录服务的java api,它允许Java客户端通过名称发现和查找数据和资源。直白说就是将名字和对象绑定,通过名字检索对象,对象可以储存在RMI、LDAP、CORBA等等. JND...

1
A1kaid 发布于 2021-08-24 10:49

Struts2历史高危漏洞分析系列：(三)

Struts2历史高危漏洞分析系列：(二)

Struts2历史高危漏洞分析系列：(一)

Nacos 认证绕过漏洞（CVE-2021-29441）及其补丁绕过分析

openemr任意文件读取删除漏洞

免杀初探(二)

免杀初探(一)

XStream CVE-2021-21341拒绝服务漏洞漏洞分析

代码审计-无回显SSRF的奇妙审计之旅

java中js命令执行的攻与防

某CMS代码审计从前台注入到后台RCE

HisiCms代码审计

某CMS审计-模板注入导致getshell

业务逻辑越权之水平垂直越权

JNDI注入的产生及利用

相关标签

推荐用户