用不安全的授权创建临时文件漏洞(使用不安全代理是什么意思)
本期主题为用不安全的授权创建临时文件漏洞的相关介绍。一、什么是用不安全的授权创建临时文件?在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻...
Java反序列化协议解析 一
2020年年前开始研究Java反序列化,一直没有研究Java反序列化文件的格式。最近闲来无事,研究一下java反序列化文件的格式。扯这么多的原因主要是要达成两个目标尝试使用python读取java反序列化文...
从JS到内网横向(js怎么跳转网页)
前言前段时间参加了一场攻防演练,使用常规漏洞尝试未果后,想到不少师傅分享过从JS中寻找突破的文章,于是硬着头皮刚起了JS,最终打开了内网入口获取了靶标权限和个人信息。在此分享一下过程。...
Padding Oracle Attack 笔记
0x01Padding Oracle Attack 经常在 WVS 扫描的时候出现,但是作为渣渣的 rr 不会去利用这个漏洞。然而实际上,这个漏洞非常普遍,按照分类来说任意文件读取,但是利用成本略高,导致并不像网上...
我所知道的内网渗透(内网渗透实例)
最近看了一点内网渗透的学习资料,感觉内网渗透需要的知识太多,顺便记录下来做参考。开篇首先推荐大佬的一篇msf内网穿透文章:https://www.freebuf.com/articles/network/125278.html其中内网...
【安全研究】对域环境靶场的渗透与思考
↑ 点击上方 关注我们免责声明郑重声明:本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!前言靶场地址:http://vulnstack....
某安全设备frp流量告警分析
点击蓝字关注我们声明本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本人无关。前言也是第一次使用某商设备,不同厂商的规则库不一样,总的来说...
高级持续渗透-第四季关于后门
本文作者:Micropoor本文属于安全脉搏专栏作者分享暨金币奖励计划转载请参考:https://www.secpulse.com/archives/61458.html第四季是一个过渡季,过渡后门在对抗升级中由传统后门,衍生成锁定...
代码审计 | 利用思维导图快速读懂框架和理清思路
学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用,主要是为了挖掘xss漏洞,jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫...
“Cyrus”APT组织:”SideWinder(响尾蛇)”的兄弟
摘要2019年7月,有人在VirusTotal上传了一个疑似针对阿富汗攻击的样本。这个样本最初被判定为"SideWinder(响尾蛇)"组织所为,有安全者深入分析后发现C2是一个印度的网站。但是网站是...
