网络安全

XXE从入门到精通

XXE从入门到精通一、前置知识1. 什么是XXE在应用程序解析XML时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站…

【论文速读】| AutoPT:研究者距离端到端的自动化网络渗透测试还有多远?

基本信息原文标题:AutoPT: How Far Are We from the End2End Automated Web Penetration Testing?原文作者:Be…

Web安全初学者入门基础

概述当今时代,无论公司规模大小,几乎每家公司都在其外部边界内拥有一个或多个 Web 应用程序。这些应用程序可以是简单的静态网站、由 WordPress 等内容管理系统 (CMS) …

flask安全指南

前记非专业web开发,以flask框架为基础记录Web开发过程的部分安全问题。FlaskescapeWhen returning HTML (the default respons…

后渗透——Window下多种密码提取的小技巧

在后渗透阶段,想要长久控制一台或多台主机,获取主机密码是非常关键的一个环节,本次为各位提供了目前非常有效的几种密码提取方法。​无问社区超链接需要注意,windows server …

代码审计 | Sentinel CMS 漏洞分析

一、cms简介:本文是关于Sentinel CMS漏洞分析学习,大纲:1、环境搭建 2、Fastjson漏洞分析 3、SSRF漏洞分析二、环境搭建下载源码,使用idea导入启动环境…

一次不成功的菠菜渗透和一些琐事

题外话转眼之间已经来到了2025年马上就过年了,距离上次在fb发表文章已经快5年了,上次本想写一个系列结果半途而废(甚至都不能说是半途,应该叫开局而废更合适- -!)。最近突然想写…

Outlaw挖矿僵尸网络近期活动分析

1          概述近期,安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件,该挖矿僵尸网络最早于2018年被发现,主要针对云服务器从事挖矿活动,持续活跃。安天CERT在…

应急响应沟通准备与技术梳理(Windows篇)

很久没有写技术文章,这段时间一直忙于无问社区平台的研发言归正传,本次主要是针对应急响应工作流程与技术思路进行一次梳理,从前期的沟通到技术的实施。在技术实施上本次会涵盖windows…

API安全 | GraphQL API漏洞一览

GraphQL API 漏洞GraphQL 的漏洞通常是由实现和设计缺陷引起的。例如,内省功能可能处于启用状态,这会让攻击者能够查询 API 以获取有关其架构的信息。GraphQL…

1 4 5 6 122