记一次某CMS代码审计
作者:ddwGeGe本文转自先知社区:https://xz.aliyun.com/t/11774前言无意中浏览到某小众OA官网且可以下载到源码,随机审计一波,最后成功Getshell,大佬勿喷目录结构环境搭建WIN11 + PhpStudy(M...
记一次招Piao的App漏洞挖掘再到RCE的过程
前言每次看到这种信息,血气方刚的年纪哪里受得了这种诱惑,果断下载我是helen黑客,一刀9999999,点击下载,跟我一起当黑客下载之后紧接着是系统发的约x信息,和猫片还得是你,这套系统打过很...
可达的assertion漏洞会造成哪些后果?
本文主要为了助力企业有效防范软件安全漏洞,提升网络安全防护能力,本期主题为第五十期:可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert()或类似...
HTTPS会话里的敏感Cookie没有设置’Secure’属性
一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。...
Web.config在渗透中的作用(web渗透的流程)
前言 本文主要介绍web.config文件在渗透中的作用,即可上传一个web.config时的思路,话不多说,开始正题。首先我们来看一下web.config是什么,援引百度百科的介绍: Web.config文件是一个XML文...
实战审计某BC站源码,并拿下权限(审计bs是什么意思啊)
我们废话不多说,直接看过程吧!源码的获取来源我就不透露了,找下载这种源码的站,想办法把卖源码的站撸了,然后免费下载就完事了目标站点使用的源码就是下面这套,名字就不透露了,主要分享审...
Java代码审计之ofcms | 技术精选0140
本文约2000字,阅读约需5分钟。话不多说,直接开始今天的代码审计。1环境搭建Github地址如下:"https://github.com/yuzhaoyang001/ofcms"下载后,直接用IDEA打开ofcms项目,配置tomca...
Samba CVE-2015-0240 远程代码执行漏洞利用实践
在大家欢天喜地度春节时,安全界近日爆出Samba被发现存在远程命令执行漏洞(CVE-2015-0240),安全脉搏有文章《Samba全系版本远程命令执行漏洞(CVE-2015-0240)检测方法及修复建议》,长亭科技KELWI...
DDOS攻击方式总结(ddos攻击作用)
本文属于安全脉搏原创现金奖励计划,未经允许,严禁转载。本人近期一直在研究DDOS攻击,并通读了《破坏之王-DDOS攻击与防范》一书,书中对于DDOS的攻击方式与防范写的很详细,很推荐阅读,并针...
数字类型的不正确转换漏洞(数字类型的数据)
本期主题为数字类型的不正确转换导致漏洞的相关介绍。一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时,会忽略部分数据,造成精度损失,甚至产生不可...
