前言 本文主要介绍web.config文件在渗透中的作用，即可上传一个web.config时的思路，话不多说，开始正题。首先我们来看一下web.config是什么，援引百度百科的介绍： Web.config文件是一个XML文...

我们废话不多说，直接看过程吧！源码的获取来源我就不透露了，找下载这种源码的站，想办法把卖源码的站撸了，然后免费下载就完事了目标站点使用的源码就是下面这套，名字就不透露了，主要分享审...

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"下载后，直接用IDEA打开ofcms项目，配置tomca...

在大家欢天喜地度春节时，安全界近日爆出Samba被发现存在远程命令执行漏洞(CVE-2015-0240),安全脉搏有文章《Samba全系版本远程命令执行漏洞(CVE-2015-0240)检测方法及修复建议》，长亭科技KELWI...

本文属于安全脉搏原创现金奖励计划，未经允许，严禁转载。本人近期一直在研究DDOS攻击，并通读了《破坏之王-DDOS攻击与防范》一书，书中对于DDOS的攻击方式与防范写的很详细，很推荐阅读，并针...

本期主题为数字类型的不正确转换导致漏洞的相关介绍。一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时，会忽略部分数据，造成精度损失，甚至产生不可...

一、什么是从finally块中return?Java中的finally一般与try一起使用，在程序进入try块之后，无论程序是因为异常而中止或其它方式返回终止的，finally块的内容一定会被执行。代码在finally块中有...

早在2017年，苹果MacOS的Sierra就出现过类似漏洞问题， 它允许任何人在root账户中输入一个空白密码或任意字符串作为密码即可进入系统。未授权的用户可以通过【系统偏好】设置，选择【用户...

 本文是metasploitminute的课程 利用powershell生成一个基础认证钓鱼窗体，然后通过metasploit来capture捕获。最酷的是不生成额外代码，可以获取任何级别用户的认证信息，无需管理员权限，...

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。二、表达式永假...