搜索精彩内容
包含"look utils tan"的全部内容
我是如何利用环境变量注入执行任意命令
本文发表于跳跳糖,转载请联系对方。 这周三在『代码审计知识星球』中发了一段代码,用户可以控制环境变量,但后面没有太多可控的地方,最后找到了一处执行命令,不过命令用户也不可控。用PHP...
三个Android蓝牙组件漏洞详情 – 作者:周大涛
写在前面的话2018年3月,Quarkslab向Google报告了Android蓝牙协议栈中的一些漏洞: 问题编号74882215:蓝牙L2CAP L2CAP_CMD_CONN_REQ远程内存泄露 问题编号74889513:蓝牙L2CAP L2CAP_CMD...
Linux pwn入门教程(10)——针对函数重定位流程的几种攻击 – 作者:i春秋学院
作者:Tangerine@SAINTSEC本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,...
Java Web安全之代码审计 – 作者:安百科技
信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。一、JavaWeb 安全基础1. 何为代码审计?通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序...
开源蜜罐测评报告 – 作者:陌度
被人问到各种蜜罐的测评然后就想写一下各种开源蜜罐的测评报告,各种开源蜜罐地址可以在下面找到我也将按照里面的模板进行测评。https://github.com/paralax/awesome-honeypots/blob/master/REA...
浅谈Fastjson RCE漏洞的绕过史 – 作者:平安银行应用安全团队
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言最近一段时间fastjson一度成为安全圈的热门话题,作为一个是使用...
2014年澳大利亚CTF靶场演练 – 作者:陌度
看到在freebuf上面没有这个CTF靶场的解题过程就写下来记录一下。外国友人已经将整个CTF竞赛的题目**到虚拟机里面我们启动虚拟机就可以练习测试。CySCA2014-in-a-Box是一款虚拟机包含了CySCA2014...
Struts2基于OGNL的RCE漏洞全解析 – 作者:平安银行应用安全团队
引言 最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线,但我觉得作为曾经红极一时的经典系列RCE漏洞,对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的,所以这篇文章...
从零开始学习fastjson反序列化 – 作者:打大狼
fastjson使用简介fastjson项目地址:https://github.com/alibaba/fastjson用来实现Java POJO对象与JSON字符串的相互转换,比如:User user = new User(); user.setUserName('李四'); user.setAg...
渗透测试面试近期热门题 – 作者:绿帽子技术分享
前言 近期面试喜欢问的问题,总结了一下。 岗位分析 整体安全行业,随着网络安全的大火,Web安全入门浅,培训机构遍地开会,大量花里胡哨的人才都争着用了进来,所以想要突出,必须要有自己...