-
漏洞初探,手把手带小白进入黑客的世界
漏洞简介 SSRF(Server-side Request Forge, 服务端请求伪造 通常用于控制web进而探测内网服务以及攻击内网脆弱应用 即当作跳板机,可作为ssrfsocks代理 漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。 ...
05月04日[游戏|数码]浏览:470
-
漏洞验证和利用代码编写指南
漏洞验证准则 已有人总结过 《漏洞检测的那些事儿》: 文章里很好的提出编写漏洞验证代码时需要注意的 三个准则 ,简单总结和补充如下: 1. 随机性 保证关键变量、数据和无明显含义要求的值应该具有随机性。 如: 上传文件的文件名,webshell 密码,print 的值,探测 404 页面使用的路径等...
05月02日[游戏|数码]浏览:381
-
Fastjson 反序列化漏洞自动化检测
fastjson 是 JAVA 中常用的一个用来序列化反序列化 JSON 数据的库。因其优异的性能表现,在 java web 开放中应用比较广泛。最近需要写一个 fastjson 的检测插件,稍微研究了一下后,感觉有一个比较不错的检测方法,在这里和大家分享下。 在文章开始之前我想说明一点这里介绍的是...
05月01日[游戏|数码]浏览:336
-
漏洞利用复现,看看黑客如何入侵服务器
漏洞描述 近日webmin被发现存在一处远程命令执行漏洞,经过分析后,初步猜测其为一次后门植入事件,webmin是目前功能最强大的基于web的unix系统管理工具,管理员通过浏览器访问webmin的各种管理功能并完成相应的管理动作,当用户开启webmin密码重置功能后,攻击者可以通过发送post请求...
04月30日[游戏|数码]浏览:433
-
新漏洞使攻击者可以嗅探或劫持VPN连接
OpenVPN,WireGuard和IKEv2 / IPSec VPN容易受到攻击。 学者本周披露了一个影响linux,Android,macOS和其他基于Unix的操作系统的安全漏洞,攻击者可以利用该漏洞嗅探,劫持和篡改VPN隧道连接。 该漏洞(跟踪为CVE-2019-14899)位于多个...
04月22日[游戏|数码]浏览:412
-
黑客神技,漏洞利用“tomcat代码执行漏洞”
环境搭建的准备 win 2003(64bit 2、JAVA环境、Tomcat-7.0.75 2、安装环境 1)这里的话,用windows 2003的虚拟机 前提要有一个java的环境,所以我这里就已经安装,就不讲怎么去安装java环境了。 接下来就是我们用安装的tomcat。我这里安装的是to...
04月18日[游戏|数码]浏览:302
-
-
SSRF漏洞攻击原理及防御方案
01SSRF概念 服务端请求伪造(Server-Side Request Forgery ,指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 02SSRF的原理 很多web应用都提供了从其他...
04月12日[游戏|数码]浏览:292
-
网站漏洞测试与修复漏洞Laravel框架
Laravel框架是目前许多网站,App运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面我们来详细的分析漏洞,以及如何利用,漏洞修复等三个方面进行全面的记录. 该Lara...
04月12日[游戏|数码]浏览:340
-
Apache-解析漏洞
大家好,我是阿远,今天给大家分享一下Apache解析漏洞的原理 Apache解析漏洞 在Apache中,访问:liuwx.php.360会从右往左识别后缀,存在解析漏洞的时候,会从右往左识别哪个能解析,360是不能被解析,然后往左识别到php就识别能解析,这就是Apache的解析漏洞 漏洞复现...
04月11日[游戏|数码]浏览:444