网络安全

企业安全测试 | 云网OA代码审计

环境搭建源码地址:https://gitee.com/bestfeng/yimioaJDK:8审计工具:IDEA具体搭建方法建议参考官方的文档:http://partner.yim…

贷齐乐错误的waf引起的SQL注入漏洞复现

一、环境介绍本篇模拟2015年爆出的贷齐乐SQL注入的漏洞:贷齐乐系统多处SQL注入漏洞该漏洞基于错误的WAF引发的,同SQLi靶场中的29关到31关类似,但该漏洞是错误的WAF引…

PHP_WebShell免杀基础教程(回调函数)

速通php基础语法变量声明与赋值:$variable_name = value;PHP中的变量以$符号开头,可以存储各种数据类型,如整数、浮点数、字符串、数组等。数据类型:整数(i…

SRC挖掘实战 | JS中能利用的那些信息

一、前言SRC挖掘的渗透测试中,在遇到陌生的系统时可能会手足无措,但是可以根据js进行思维发散,最后发掘业务上面的漏洞。比如寻找js中和漏洞间接有关的信息:配置信息、接口路径、账号…

CRSF、JSONP劫持、CORS配置不当中的cookie跨域问题

前言最近在挖SRC时遇到了JOSNP和CORS,但是进行JSONP劫持和CORS跨域请求的尝试却失败了,后来经过研究发现根本原因是cookie跨域的限制造成了,遂有了这篇文章。关于…

0day之某路由器前台RCE审计

一.引子又是一个风和日丽的周六下午,帅比小雷茫然的睁开疲惫的双眼,突然觉悟,我小雷乃一代肾透大师岂能虚度光阴?这成何体统?电脑来,Visual Studio Code来,源码来,小…

大模型之原生安全与基础安全的火花

一、前言目前越来越多AI落地应用了比如:腾讯混元大模型在研发安全漏洞修复的实践、腾讯会议AI小助手等等,AI与WEB应用结合如果使用不当也会出现各种问题。portswigger提供…

从蓝初小白到蓝中猴子(一)

应急响应流程1)首先判断服务器资产、影响范围以及严重程度,确认有没有必要将服务器下线隔离,然后根据服务器的失陷时间和态势感知的告警,判断是由什么漏洞进来的2)其次就是取证排查阶段,…

三行代码,让Yakit Codec为我一键处理。。。

@Rookie师傅在上周的更新中,Yakit的v1.3.1sp1版本和Yaklang v1.3.1,我们推出了新版的 Codec 模块。替代之前比较简陋的编解码页面。新版Codec…

Hackthebox:Driver 记录

Hackthebox:Driver 记录前言hackthebox 官方认定esay难度靶机,此为打靶过程记录,其中有错误路径的尝试,不是wp,也有遇到环境问题的解决过程。(本人觉得…

1 118 119 120 134