【渗透测试】Apache Shiro系列漏洞
Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
泛微 E-cology V9 信息泄露漏洞
泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口
Windows提权
windows提权学习过程中的一些总结
文件上传漏洞基础/htaccess重写解析绕过/大小写绕过上传/windows特性绕过
htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!有的黑名单没有对后缀名的大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,
攻防世界ctf web easyphp题解wp
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
怎么入门SRC漏洞挖掘
2. SRC的工作过程 SRC的成员发现漏洞,确认漏洞,报告漏洞,修复漏洞,并公开发布漏洞信息和修复信息。2. 漏洞识别漏洞识别是SRC漏洞挖掘重要的一步。3. 拓展攻击面针对已经确定的漏洞,可以尝试进一步拓展攻击面,以便确定该漏洞的影响范围、漏洞的类型等信息。总结: SRC漏洞挖掘工作需要遵守法律
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
大华城市安防监控系统平台管理存在任意文件下载漏洞
大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。刷新登录页面进行抓包,然后在数据包中添加POC。大华城市安防监控系统平台管理。
文件操作安全之-目录穿越原理篇
从目录穿越的定义,目录穿越的漏洞原理,目录穿越漏洞的具体案例,例如Apache http服务器CVE-2021-41773和CVE-2021-42013目录穿越漏洞,以及目录穿越漏洞潜在的危害阐述目录穿越漏洞中的安全问题。
安全扫描:检测到目标站点存在javascript框架库漏洞
检测到目标站点存在javascript框架库漏洞的解决方法
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
【愚公系列】2023年05月 网络安全高级班 051.WEB渗透与安全(BurpSuite的代理功能)
Burp Suite的代理功能是一种网络代理工具,它可以用于截获、修改、重放和检查 Web 流量,从而帮助安全测试人员和开发人员识别和修复应用程序中的安全漏洞。代理功能可以劫持浏览器发送的 HTTP/HTTPS 流量,并在请求和响应之间添加、修改或删除参数,从而对应用程序中存在的漏洞进行测试和评估。
【愚公系列】2023年05月 网络安全高级班 034.应急响应溯源分析(Liunx系统安全配置与加固)
Linux系统安全配置和加固的含义是为了保护系统免受安全漏洞和恶意攻击的影响。它们包括诸如限制访问权限、更新和修复漏洞、安装防火墙、使用加密和强密码等措施,以确保系统和数据的安全。这些措施可以帮助防止系统被黑客攻击、病毒或恶意软件感染、数据泄露或其他安全问题。
实战SRC漏洞挖掘全过程,流程详细【网络安全】
一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。
pikachu靶场的搭建(win10系统)
本篇适合于正在为搭建pikachu靶而场烦恼的小白,教你一步一步成功完成。
【愚公系列】2023年05月 网络安全高级班 058.WEB渗透与安全(BurpSuite+CO2实现SQL注入)
Burp Suite是一款常用的web应用程序测试工具,它可以帮助测试人员发现应用程序的漏洞和安全隐患,从而提高应用程序的安全性。Burp Suite具有代理服务器、漏洞扫描器、拦截器、破解器和自动编码/解码等多个功能。通过使用Burp Suite,测试人员可以轻松地进行web应用程序的渗透测试和安
masscan的常用命令记录
masscan的常用命令
流量分析:wireshark的使用
流量分析:wireshark的使用
渗透测试流程(拿到一个了网站,应该怎么做)
渗透测试流程拿到一个待测网站,你感觉应该怎么做?第一步:信息收集前端语言、后端语言、中间件、服务器、版本号、开放的端口,真实IP,子目录爬取,注册人信息whois查询,旁站扫描,网站指纹获取(CMS)1.服务器域名的whois信息,包括注册者的邮箱、姓名、电话等2.服务器操作系统的版本、中间件等,是
安全术语介绍
概念验证漏洞利用攻击载荷CVE(CommonVulnerabilities &Exposures)即通用漏洞披露,是全球漏洞的“百科全书”,其建立了跨组织厂商的通用漏洞沟通语言。CVE由美国MITRE公司创立,通过CAN机构分配漏洞编号,通过CVSS系统评估漏洞等级。CNVD全称国家信息安全漏洞共享
