代码审计 | 同源策略的绕过
1. 示例代码<!-- oauth-popup.html --><script>const handlers = Object.assign(Object.create(null), {getAuthCode(sender) { sen...
深度学习后门攻击分析与实现(二)(后门攻击名词解释)
前言在本系列的第一部分中,我们已经掌握了深度学习中的后门攻击的特点以及基础的攻击方式,现在我们在第二部分中首先来学习深度学习后门攻击在传统网络空间安全中的应用。然后再来分析与实现一...
对深度学习的逃逸攻击 — 探究人工智能系统中的安全盲区
对深度学习的逃逸攻击 -- 探究人工智能系统中的安全盲区 ---ISC 2017中国互联网安全大会举办了人工智能安全论坛。 我们把论坛总结成为一系列文章,本文为系列中的第二篇。 作者: 肖奇学1,...
资源未关闭释放漏洞(资源释放中什么意思)
本期主题为资源未关闭/释放漏洞的相关介绍。一、什么是资源未关闭/释放?在使用临时或配套资源后,软件没有正确“清理”和删除这些资源。二、资源未关闭/释放漏洞构成条件有哪些?满足以下条件,...
一份通告引发的内网突破
这是 酒仙桥六号部队 的第 131 篇文章。全文共计2834个字,预计阅读时长9分钟。一、前言本文记录某项目,在开始尝试各类漏洞未果的情况下,利用平台的逻辑缺陷,打造出一份高质...
【技术分享】另类WebShell监测机制–基于auditd(webshell检测)
鸣 谢VSRC感谢业界小伙伴——老陈投稿精品原创类文章。VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送,我们为您准备的丰富奖品包括但不仅限于:MacbookAir、VSRC定制...
【翻译】WordPress WPDB SQL注入攻击(技术文档)
WordPress 4.8.3中修复了一个重要的SQL注入漏洞。漏洞是今年9月20日由Hacker-One报告的。本文主要讲了漏洞的技术细节和解决方法。升级到最新版本网站管理员应该升级WordPress到4.8.3版本并更新...
XSS Filter Evasion Cheat Sheet(XSS BYPASS备忘录)
【本文作者:legend 属于安全脉搏原创现金奖励文章,未经允许,严禁转载】【应大量脉搏读者需求,已经转换提供pdf下载:XSS Filter Evasion Cheat Sheet_SecPulse.pdf下载链接: https://pa...
浅谈SVG的两个黑魔法
前言之前在CTF比赛中遇到了一些关于SVG造成的安全问题,多亏诸多师傅的题目给我的一顿痛打让我又了解了不少新的知识和SVG在WEB安全中的应用,拓展了我的攻击面。本文涉及靶场知识点——XXE漏洞...
Sqlmap初体验,渗透拿到网站用户名密码(sqlmap渗透网站教程)
前期准备:拿到目标网站时,要先进行信息收集,目的是为了扩大目标范围。可以看一下有哪些“C段”(即同网段不同IP),有哪些二级域名“旁站”(即同服务器的不同站点),这些都是你不可忽略的...
