Windows VBScript引擎远程执行代码漏洞 之CVE-2018-8174
漏洞简介VB引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相...
如何在社交媒体广告中使用地理位置(如何在社交媒体上做有效的广告)
在社交媒体广告中使用地理定位已不仅是暂时的热潮。越来越多的公司正在使用基于位置的广告来提高其广告投放的效果。而且,他们不会感到失望,因为一项研究显示,百分之八十的营销人员发现,基于...
代码审计 | 同源策略的绕过
1. 示例代码<!-- oauth-popup.html --><script>const handlers = Object.assign(Object.create(null), {getAuthCode(sender) { sen...
使用已破解或危险的加密算法导致的漏洞(已经被破解的加密算法)
一、什么是使用已破解或危险的加密算法导致的漏洞?使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞...
安全小课堂第132期【代码审计&黑白盒测试】(代码安全检测最好安排在哪一环节)
从代码审计的环境基础开始,层层的拆解开,如何快速的搭建并审计java应用,怎么审计最快,怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。JSRC 安全小课堂第132期,邀请到jkgh006师傅就...
Bypass宝塔防火墙和云锁SQL注入钓鱼站(宝塔防火墙绕过)
前言某天收到一封邮件一看就是钓鱼邮件,并且我也不玩LOL。看了看感觉这个系统好像见过很多次,研究了一下,顺手日了下来过程比较有意思,遇到了不少坑,写篇文章记录一下。正文信息搜集打开网...
声明为public static的域没有标记final缺陷简介
在一个类中,非静态成员变量对每一个对象都会有一个特定的值,在初始化非静态变量的时候是不分配内存的,只有创立对象后才会分配,而且不同对象之间的同名非静态变量是可以不同的;当用static修...
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程(sql注入非法字符)
一、前言如题,由于是在已知有一处sql注入的情况下才接手进行的后续操作,因此前面信息搜集则一笔带过。二、信息搜集目标是个本地的传销站点其大致信息为IIS+ASP.NET+安全狗、腾讯云。三、Bypas...
Xcheck之PHP代码安全检查(php安全问题)
1 PHP安全检查引擎Xcheck的php引擎支持原生php的安全检查,也支持对国内主流框架编写的web应用进行安全检查,覆盖包括Thinkphp,Laravel,CodeIgniter,Yii,Yaf等web框架,对尚未覆盖的框架如果有...
疫情防控期的几类网络安全威胁分析与防范建议(疫情对网络安全行业的机遇与挑战)
【态势概述】新型冠状病毒感染的肺炎疫情发生后,安天启动重大社会事件网络安全应急值守制度。截止2月18日,安天CERT发现和跟踪了多起利用新冠肺炎疫情相关信息进行网络攻击的案例,攻击者利用...
