漏洞 »

挖洞经验 | 发现任意Facebook非公开私密群组成员信息
挖洞经验 | 发现任意Facebook非公开私密群组成员信息
2019-11-22  
经作者测试发现,针对任意私密群组,非私密群组成员一样可以查看其中的群组成员信息。
WEB安全漏洞 已有 15550 人围观 ,发现 5 个不明物体
WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析
WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析
2019-11-22  
我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类。
漏洞 已有 18853 人围观 ,发现 2 个不明物体
Apache Flink任意Jar包上传漏洞复现
Apache Flink任意Jar包上传漏洞复现
2019-11-21  
周三的时候,安全网站上看到有一个新爆出的关于Aapche Flink的JAR包上传导致任意代码执行的漏洞。周四在看的时候已经出了一部分POC和抓取相关漏洞机器的代码,放在编译器里跑了一下好像不行。
漏洞 已有 56897 人围观 ,发现 17 个不明物体
谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)
谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)
2019-11-20  
Checkmarx安全研究团队的研究人员表示,任何应用程序在不具备具体权限的情况下均可控制谷歌的安卓摄像头 app 并强制其拍照和/或录视频,即使手机锁定且屏幕关闭的情况也不例外。
漏洞 已有 55587 人围观 ,发现 3 个不明物体
梦想v1.4 CMS平台XSS漏洞分析
梦想v1.4 CMS平台XSS漏洞分析
2019-11-19  
梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms)。它是完全免费和开源的。
漏洞 已有 46212 人围观 ,发现 5 个不明物体
甲方视角:SHIRO-721临时修复方案
甲方视角:SHIRO-721临时修复方案
2019-11-19  
14日晚上,发现了一个公开的Shiro的RCE漏洞,作为在甲方工作了挺久的人,一听Shiro立马虎躯一震,来不及分析poc,立马先得确认公司业务是否受到影响。
漏洞 已有 56514 人围观 ,发现 5 个不明物体
存储型XSS的攻防:不想做开发的黑客不是好黑客
存储型XSS的攻防:不想做开发的黑客不是好黑客
2019-11-17  
存储型XSS是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,一般是注入一段javascript脚本。
WEB安全漏洞 已有 88935 人围观 ,发现 13 个不明物体
挖洞经验 | PayPal未配置恰当的爬虫索引(robots)规则导致的用户敏感信息泄露漏洞
挖洞经验 | PayPal未配置恰当的爬虫索引(robots)规则导致的用户敏感信息泄露漏洞
2019-11-16  
本文Writeup讲述了作者通过简单Google Dork查询发现的PayPal信息泄露漏洞。每天,世界各地大量PayPal用户在发生转账交易时,都使用了安全的GET方式HTTP传输请求,这本身没有任何问题。
WEB安全漏洞 已有 62234 人围观 ,发现 4 个不明物体
看我如何绕过像PRO这样的XSS过滤器(XSS高级方法)
看我如何绕过像PRO这样的XSS过滤器(XSS高级方法)
2019-11-15  
JavaScript代码中如果存在代码注入漏洞的话,那确实是一个令人头疼的问题...由于这个项目并不是我们为企业环境做的渗透测试项目,因此我们可以直接将技术细节公布给大家。
漏洞网络安全 已有 53612 人围观 ,发现 5 个不明物体
Apache中.htaccess文件利用的总结与新思路拓展
Apache中.htaccess文件利用的总结与新思路拓展
2019-11-15  
在普遍使用的LAMP架构中,Apache与PHP之间的交互,有三种常见的方式。
WEB安全漏洞 已有 70548 人围观 ,发现 6 个不明物体
JWT介绍及其安全性分析
JWT介绍及其安全性分析
2019-11-14  
JWT(JSON Web令牌)是REST API中经常使用的一种机制,可以在流行的标准(例如OpenID Connect)中找到它,但是有时也会使用OAuth2遇到它。
WEB安全漏洞 已有 68466 人围观 ,发现 3 个不明物体
挖洞经验 | 从安全的文件共享服务中获取用户私钥信息
挖洞经验 | 从安全的文件共享服务中获取用户私钥信息
2019-11-13  
虽然该加密服务网站声称它们提供的服务绝对安全可靠,但我觉得任何人都会犯错,所以我决定深入测试分析一下。
WEB安全漏洞 已有 36428 人围观
CVE-2019-6333:HP触摸终端漏洞分析
CVE-2019-6333:HP触摸终端漏洞分析
2019-11-13  
近期,SafeBreach Labs的安全研究人员在惠普的HP Touchpoint Analytics软件中发现了一个新型的安全漏洞,该漏洞将导致攻击者在目标设备上实现非法提权。
漏洞终端安全 已有 53965 人围观 ,发现 1 个不明物体
看我如何通过参数污染绕过IDOR
看我如何通过参数污染绕过IDOR
2019-11-12  
在一次渗透测试过程中,我偶然间发现了一个有趣的IDOR(不安全的直接对象引用)漏洞,通过使用参数污染技术(利用一个被忽略的测试用例),攻击者将能够成功地在目标站点上实现IDOR绕过。
漏洞网络安全 已有 57780 人围观 ,发现 8 个不明物体
最后一个登录框引起的血案
最后一个登录框引起的血案
2019-11-11  
登录框系列最后一篇,半年的准全职赏金猎人的生涯,算是水到渠成的一篇,这一篇每一个类型都将配一个这半年来我所发现的漏洞当作案例。
WEB安全漏洞 已有 522666 人围观 ,发现 52 个不明物体
CVE-2016-3116 Dropbear注入漏洞分析
CVE-2016-3116 Dropbear注入漏洞分析
2019-11-10  
Dropbear是一个相对较小的SSH服务器和客户端。开源,在无线路由器等嵌入式linux系统中使用较多。
漏洞 已有 48966 人围观 ,发现 1 个不明物体

最新话题

手把手教你打造超级CTF平台

独立团孙德胜 推荐:

那就由孙德胜,来教大家如何搭建CTF的训练平台,以及炫酷的CTF比赛平台!

活动预告

css.php