-
[站外广告]业务列表介绍和一般分类
业务列表介绍和一般分类:类别:攻击入侵破解开发1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。[接受授权的业务] ...
-
-
如何通过休眠服务劫持Augur
一、前言这份漏洞报告已于3星期之前发送给Augur,现在经对方允许我将漏洞细节公开。虽然攻击过程本身有点复杂,在实际环境中难以实现,但的确是一种通用型攻击方法,可以适用于多个去中心化应用。二、Augur简介目前Augur的架构主要由3个独立的层所组成:1、在最底层,Augur包含建立在以太...
-
由浅入深剖析xml及其安全隐患
前言本文用来归纳并深入理解xml语言及其在web环境中可能存在的安全隐患。xml基本概念什么是xml?XML指可扩展标记语言(EXtensibleMarkupLanguage),是一种标记语言,很类似HTML。其设计宗旨是传输数据,而非显示数据。XML标签没有被预定义。所以需要自...
-
围观orange大佬在Amazon内部协作系统上实现RCE
(本文作者是orange,以其第一人称叙述。)这是我在BlackHatUSA2018和DEFCON26上的案例研究,PPT可在这里下载:•BreakingParserLogic!TakeYourPathNormalizationOffandPop0daysOut...
-
TJCTF 2018 Web专题全解析
闲的无聊,打了下最近的tjctf2018,这场比赛挺不错的,许多新颖的题目,题目难度分层恰当,有难有易,下面是这次的Web专栏writeup。Web_Bank打开页面,查看源代码Web_CookieMonster打开页面,查看源代码,有个/legs,打开继续右键查看源代码Web_Ce...
-
推特热点 | phpMyAdmin
0x00漏洞简述漏洞信息本周在Twitter上有一个较为热点的讨论话题,是有关phpMyAdmin<=4.7.7版本的一个CSRF漏洞,漏洞存在于common.inc.php中,而笔者分析完后,发现这个更像是漏洞作者捡漏的一个漏洞。漏洞影响版本phpMyAdmin<=4....
-
我在WordPress.org上发现了一个蠕虫特性的存储XSS漏洞
利用在一个流行的wordpress插件上发现的漏洞进行攻击可以很轻而易举的攻陷全球成千上万的网站,比如最近的WPGDPRCompliance。一个插件出现漏洞则代表着所有使用这个插件的网站都存在巨大风险。但是能不能在wordpress圈子内找到一个比一个流行插件漏洞更具有攻击性的漏洞呢?这就是这...
-
ThinkPHP 5.0.* 远程命令执行漏洞预警
0x00事件背景2019年1月11日,360CERT发现某安全社区出现关于ThinkPHP5RCE漏洞的威胁情报,不久之后ThinkPHP5官方与GitHub发布更新。该更新修复了一处严重漏洞,该漏洞可导致远程命令代码执行0x01影响范围ThinkPHP5.0.x5.0.x~5...
-
利用分块传输吊打所有WAF
技巧1使用注释扰乱分块数据包一些如Imperva、360等比较好的WAF已经对Transfer-Encoding的分块传输做了处理,可以把分块组合成完整的HTTP数据包,这时直接使用常规的分块传输方法尝试绕过的话,会被WAF直接识别并阻断。我们可以在[RFC7230]中查看到有关分块传输的定义...
-
zzzphpV1.6.1 远程代码执行漏洞简单分析
0x1前言在先知偶然看到了一篇文章zzzphpV1.6.1远程代码执行漏洞分析,关于模版getshell其实很普遍,这种漏洞分析的乐趣在于跟踪恶意代码的全过程,很可惜先知上的作者可能对这方面不是很感兴趣,直接丢出了payload,正好自己最近很想看下一些cms具体是如何解析模版的,比如之前...
-
混合攻击来了,WAF 进入多引擎时代
5G商用进程的加快推动了万物互联、智能家居、无人驾驶等技术与商业形态的快速落地,带来了经济与社会的广泛变革。但同时,5G网络中隐藏的混合攻击威胁给5G应用带来了严峻的挑战。盛邦安全于近日推出新一代Web应用防护系统——RayWAF7.0版本,搭载四大核心技术引擎,形成七大防护能力,帮助用户应对5...
-
Akamai全面升级Web安全解决方案
2020年4月23日,负责提供安全数字化体验的智能边缘平台阿卡迈技术公司(AkamaiTechnologies,Inc.,以下简称:Akamai)(NASDAQ:AKAM)近日宣布对其Web安全产品组合进行全面升级,旨在利用最先进的技术帮助企业机构应对最新和最复杂的安全挑战。具体产品更新如下。...
Web安全
滇ICP备19002590号-1