文章 » WEB安全 »

挖洞经验 | 与Yahoo和Paypal相关的两个独特漏洞($5k+$3.2k)
挖洞经验 | 与Yahoo和Paypal相关的两个独特漏洞($5k+$3.2k)
2019-04-25  
本文分享的是与Yahoo和Paypal相关的两个独特漏洞,一个为Yahoo的IDOR漏洞(不安全的直接对象引用),另一个为Paypal的DoS漏洞。
WEB安全漏洞 已有 12439 人围观
三种对CORS错误配置的利用方法
三种对CORS错误配置的利用方法
2019-04-24  
作为安全分析师/工程师,了解如何利用错误配置的CORS标头非常重要。这也将有助于你在灾难发生之前更好地对其进行补救。
WEB安全 已有 27163 人围观 ,发现 1 个不明物体
带外通道技术(OOB)总结
带外通道技术(OOB)总结
2019-04-24  
一次OOB攻击能够成功逃避监控,绕过防火墙且能更好的隐藏自己。
WEB安全 已有 45810 人围观 ,发现 4 个不明物体
看我如何绕过WAF的XSS检测机制
看我如何绕过WAF的XSS检测机制
2019-04-23  
本文提出了一种绕过XSS安全机制的新型方法,这种技术由三个阶段组成:确定Payload结构、探测和混淆处理。
WEB安全 已有 67893 人围观 ,发现 2 个不明物体
挖洞经验丨看我如何获取Facebook用户的隐私好友列表
挖洞经验丨看我如何获取Facebook用户的隐私好友列表
2019-04-22  
当拥有个人信息的组织机构发生数据失窃或遭受未授权访问行为时,就可能发生用户信息泄露事件。
WEB安全漏洞 已有 57327 人围观 ,发现 8 个不明物体
如何发现Web App Yummy Days的安全漏洞?
如何发现Web App Yummy Days的安全漏洞?
2019-04-21  
在本文中,我将向你展示我是如何发现Web App Yummy Days的安全漏洞的,以及如何构建一个简单的自动客户端,让我获得Yummy Days促销的奖品。
WEB安全 已有 33451 人围观 ,发现 3 个不明物体
挖洞经验 | 一次INSERT查询的无逗号SQL注入漏洞构造利用($10k)
挖洞经验 | 一次INSERT查询的无逗号SQL注入漏洞构造利用($10k)
2019-04-20  
本文分享的是作者在一次众测中的SQL报错型注入漏洞发现过程。
WEB安全漏洞 已有 125225 人围观 ,发现 5 个不明物体
通过Thinkphp框架漏洞所发现的安全问题
通过Thinkphp框架漏洞所发现的安全问题
2019-04-18  
在一次偶然的机会发现公司某个网站存在thinkphp的远程命令执行漏洞,自此对这个漏洞爱不释手。这究竟是为什么呢?
WEB安全 已有 242631 人围观 ,发现 11 个不明物体
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
2019-04-18  
如果要把ViewState 通过数据库或其他持久化设备来维持,需要采用特定的LosFormatter 类来序列化/反序列化。
WEB安全 已有 32756 人围观 ,发现 1 个不明物体
Metasploit之文件解析远程代码执行(NAT穿透+IIS发布)
Metasploit之文件解析远程代码执行(NAT穿透+IIS发布)
2019-04-18  
前几天确实太忙了,今天刚一得空,晚上熬夜写一篇,做任何事情都要坚持,不是吗?!
WEB安全 已有 30962 人围观 ,发现 9 个不明物体
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
2019-04-17  
最近,我发现了一个关于Livestream网站的漏洞,利用该漏洞可以获取其上任意注册用户的未公开或定期排播流视频内容。
WEB安全漏洞 已有 41010 人围观 ,发现 1 个不明物体
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
2019-04-17  
使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 25804 人围观
深入理解JavaScript Prototype污染攻击
深入理解JavaScript Prototype污染攻击
2019-04-16  
JavaScript是一门非常灵活的语言,我感觉在某些方面可能比PHP更加灵活。所以,除了传统的SQL注入、代码执行等注入型漏洞外,也会有一些独有的安全问题,比如今天要说这个prototype污染。
WEB安全 已有 62283 人围观 ,发现 5 个不明物体
数据分析与可视化:谁是安全圈的吃鸡第一人
数据分析与可视化:谁是安全圈的吃鸡第一人
2019-04-15  
安全圈的黑阔大佬们,在不开挂的情况下,谁会是他们之中技术最好的呢?带着这样的疑问,作者试着从数据分析的角度来看看谁会是安全圈的吃鸡第一人。
WEB安全 已有 423968 人围观 ,发现 51 个不明物体
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
2019-04-15  
BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary它是直接用二进制方式把对象进行序列化,优点是速度较快,在不同版本的.NET平台里都可以兼容。
WEB安全 已有 28847 人围观
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
2019-04-15  
在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 40291 人围观

热门推荐

有奖投稿 寻求报道
  • 最新评论
  • 亮了
    Loading...

最新话题

活动预告

FREEBUF

广告及服务

关注我们

赞助商

Copyright © 2019 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号

css.php