通过Thinkphp框架漏洞所发现的安全问题
通过Thinkphp框架漏洞所发现的安全问题
2019-04-18  
在一次偶然的机会发现公司某个网站存在thinkphp的远程命令执行漏洞,自此对这个漏洞爱不释手。这究竟是为什么呢?
WEB安全 已有 60169 人围观 ,发现 8 个不明物体
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
2019-04-18  
如果要把ViewState 通过数据库或其他持久化设备来维持,需要采用特定的LosFormatter 类来序列化/反序列化。
WEB安全 已有 10894 人围观
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
2019-04-17  
最近,我发现了一个关于Livestream网站的漏洞,利用该漏洞可以获取其上任意注册用户的未公开或定期排播流视频内容。
WEB安全漏洞 已有 24706 人围观 ,发现 1 个不明物体
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
2019-04-17  
使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 14309 人围观
深入理解JavaScript Prototype污染攻击
深入理解JavaScript Prototype污染攻击
2019-04-16  
JavaScript是一门非常灵活的语言,我感觉在某些方面可能比PHP更加灵活。所以,除了传统的SQL注入、代码执行等注入型漏洞外,也会有一些独有的安全问题,比如今天要说这个prototype污染。
WEB安全 已有 42942 人围观 ,发现 5 个不明物体
数据分析与可视化:谁是安全圈的吃鸡第一人
数据分析与可视化:谁是安全圈的吃鸡第一人
2019-04-15  
安全圈的黑阔大佬们,在不开挂的情况下,谁会是他们之中技术最好的呢?带着这样的疑问,作者试着从数据分析的角度来看看谁会是安全圈的吃鸡第一人。
WEB安全 已有 364174 人围观 ,发现 50 个不明物体
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
2019-04-15  
BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary它是直接用二进制方式把对象进行序列化,优点是速度较快,在不同版本的.NET平台里都可以兼容。
WEB安全 已有 17049 人围观
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
2019-04-15  
在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 26295 人围观
挖洞经验 | 利用Semmle QL查询语言发现Facebook Fizz的DoS漏洞($10k)
挖洞经验 | 利用Semmle QL查询语言发现Facebook Fizz的DoS漏洞($10k)
2019-04-14  
本文讲述的是Semmle公司研究员通过Semmle QL查询语言发现的,关于Facebook Fizz项目的一个拒绝服务漏洞(DoS)。
WEB安全漏洞 已有 41291 人围观
使用Sboxr实现DOM XSS漏洞的自动挖掘与利用
使用Sboxr实现DOM XSS漏洞的自动挖掘与利用
2019-04-13  
这一系列文章将为大家展示如何在单页或JavaScript富应用上,使用Sboxr实现DOM XSS漏洞的自动挖掘与利用。
WEB安全 已有 45394 人围观
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
2019-04-11  
NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据。
WEB安全 已有 24133 人围观 ,发现 1 个不明物体
奇淫技巧之Metasploit远程代码执行“冲击波”
奇淫技巧之Metasploit远程代码执行“冲击波”
2019-04-10  
最近在整理各种漏洞的利用技巧,我在Freebuf上每天都能获取很多干货,为了回馈freebuf和各位小伙伴,希望我的文章能帮到大家。
WEB安全 已有 275572 人围观 ,发现 24 个不明物体
如何使用JavaScript混淆来躲避AV
如何使用JavaScript混淆来躲避AV
2019-04-09  
前不久,Cybaze-Yoroi ZLAB的安全研究人员发现了一个值得深入研究的可疑JavaScript文件。
WEB安全 已有 60497 人围观 ,发现 4 个不明物体
奇思妙想之用JS给图片加口令
奇思妙想之用JS给图片加口令
2019-04-07  
本文展示一种用JS给图片加口令的方法,可以将任意图片转化为html,输入正确的口令才能打开查看图片。
WEB安全极客 已有 365346 人围观 ,发现 40 个不明物体
从RCE到LDAP信息泄漏
从RCE到LDAP信息泄漏
2019-04-07  
几个月前,我自愿对一家法国公司进行了安全审计。
WEB安全 已有 55797 人围观 ,发现 2 个不明物体
挖洞经验 | 通过WebPageTest服务0day漏洞实现Mozilla AWS环境远程代码执行
挖洞经验 | 通过WebPageTest服务0day漏洞实现Mozilla AWS环境远程代码执行
2019-04-04  
Assetnote CS安全团队在分析Mozilla AWS云服务网络环境攻击面时,发现了部署于其中的网络性能测试工具WebPageTest存在一个0day漏洞,利用该漏洞最终实现了对Mozilla AWS服务器的远程代码执行(RCE)。
WEB安全漏洞 已有 52113 人围观 ,发现 2 个不明物体

最新话题

活动预告

css.php