信息网络安全共39498篇
窃取用户隐私的拼多多,拿到了黑客奥斯卡提名-安全小百科

窃取用户隐私的拼多多,拿到了黑客奥斯卡提名

近日,素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中,有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lames...
admin的头像-安全小百科admin1年前
0160
Misc 第七篇——base64stego(伪加密,base64隐写)-安全小百科

Misc 第七篇——base64stego(伪加密,base64隐写)

题目描述:菜狗经过几天的学习,终于发现了如来十三掌最后一步的精髓 附件给了一个压缩包,伪加密,使用360解压缩成功解压。 解压后是一个文本文件,如下图,使用base64加密的一堆字符串, ...
admin的头像-安全小百科admin2年前
5310
分享下我 Github 被封的经历-安全小百科

分享下我 Github 被封的经历

最近好像又有人 Github 被封,每隔一段时间就有。分享下我自己的经历吧,好几年以前了,也许还是有点参考价值。 账号被封,查找原因 那是 2017 年 12 月,有天早上起来突然发现自己的号phith0n...
admin的头像-安全小百科admin2年前
0150
我是如何利用环境变量注入执行任意命令-安全小百科

我是如何利用环境变量注入执行任意命令

本文发表于跳跳糖,转载请联系对方。 这周三在『代码审计知识星球』中发了一段代码,用户可以控制环境变量,但后面没有太多可控的地方,最后找到了一处执行命令,不过命令用户也不可控。用PHP...
admin的头像-安全小百科admin2年前
0130
GoAhead环境变量注入复现踩坑记-安全小百科

GoAhead环境变量注入复现踩坑记

昨天关注到了GoAhead的环境变量注入漏洞,主要是下面这两篇文章: PBCTF 2021 - RCE 0-Day in Goahead Webserver CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现 实际上已经是几个月...
admin的头像-安全小百科admin2年前
0150
出中国记(下)-安全小百科

出中国记(下)

这篇文章是出中国记的下半部分。 继续插播广告:我们团队(Shopee Security Team)正在大力招聘,相关介绍和岗位JD见这里:https://www.leavesongs.com/PENETRATION/singapore-shopee-security-...
admin的头像-安全小百科admin2年前
0590
开源项目捐赠预算-安全小百科

开源项目捐赠预算

最近爆发的Log4j代码执行漏洞 CVE-2021-44228,不光在安全圈引起了轩然大波,整个互联网行业都有受到波及,但这个漏洞的“始作俑者”是一个仅拥有3个赞助者的开源项目。虽然可能有其他没有统计...
admin的头像-安全小百科admin3年前
0280
出中国记(上)-安全小百科

出中国记(上)

插个小广告:我们团队(Shopee Security Team)正在大力招聘,相关介绍和岗位JD见这里:https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html 😋11月14日...
admin的头像-安全小百科admin3年前
0140
Docker PHP裸文件本地包含综述-安全小百科

Docker PHP裸文件本地包含综述

本文首发在跳跳糖社区。 2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功,后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题,所以要求题...
admin的头像-安全小百科admin3年前
0380
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸-安全小百科

Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸

周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache服务器的方法,今天继续深入分析一下这个漏洞的成因...
admin的头像-安全小百科admin3年前
0150