摘要CVE-2023-40889是通过fuzz手段发现的。其相应的payload是一幅扭曲的,不可读的二维码。使用标准样式的一维条形码是否亦能引发这个漏洞呢?通过分析CVE-202…
前言平时使用的Burp插件基本都是Github上面找的,但是遇到特殊情况挖洞时候要某项功能时候,插件往往就找不到了。这篇文章就简单来讲下如何自己编写burp插件,不用再每次缺少插件…
接着上一篇《Padding Oracle原理深入剖析与实践》,我们继续看。在上一篇文章的结尾,我留下了两个思考问题:1、Padding Oracle漏洞除了能够产生明文猜解的问题,…
关于GraphRunnerGraphRunner 是一款用于与 Microsoft Graph API 交互的安全测试工具,该工具专为红队和蓝队研究人员设计,可以帮助针对Micro…
近期在X上的发现:威胁猎手捕获到的猎物在最近的X浏览中,我发现了威胁猎手捕获的一些有趣的猎物。其中一个样本引起了我的注意——一个以.bat文件形式出现的可疑文件。我分析了这个文件发…
NoSQL 注入NoSQL注入是一种漏洞,攻击者可以利用它干扰应用程序对NoSQL数据库的查询。NoSQL注入可能使攻击者能够:绕过认证或保护机制。提取或编辑数据。导致拒绝服务。在…
前言:HOST碰撞的概念已提出很久了,但是网上的部分文章感觉都解释得不太详细,可能是作者水平比较高的缘故哈哈,自行省略了很多细节没谈。于是想写一篇新手师傅也能看懂的HOST碰撞的文…
关于msInvadermsInvader是一款针对M365和Azure环境的威胁模拟与研究工具,该工具专为蓝队研究人员打造,旨在模拟 M365 和 Azure 环境中的威胁技术。其…
前言在企业安全建设中,windows安全管理是一个绕不开的话题,在复杂的域环境下,统一收集关键系统日志尤为重要,然而默认的windows日志根本不足以满足监控要求。本文通过解析重点…
关于GDB dashboardGDB dashboard是一款针对GDB的模块可视化工具,该工具基于纯Python开发,是一个Python中 GDB 的模块化可视化界面。GDB d…