搜索精彩内容
包含"types"的全部内容
java安全开发之spring boot Thymeleaf模板注入 – 作者:宽字节安全实验室
0x01 Thymeleaf简介Thymeleaf是用于Web和独立环境的现代服务器端Java模板引擎。类似与python web开发中的jinja模板引擎。顺便说一句,Thymeleaf是spring boot的推荐引擎0x02 基础知识Spring Boo...
360 FirmwareTotal进化之路:打造固件空间安全测绘领域的“谷歌” – 作者:360安全
随着科技发展,形形色色的智能家居产品走进千家万户。但是这些IoT设备背后的网络安全问题往往被人忽视,导致近年出现了越来越多的安全事件。在过去一段时间里,360安全研究院的安全研究团队一直...
文件上传漏洞攻击思路及绕过技巧 – 作者:Pretty
文件上传检验流程:1.客户端JS检验(后缀名)2.服务器端检测:文件类型content-type文件内容头(cookie、HTTP认证、会话等)目录路径文件扩展名检测黑名单or白名单自定义正则校验3.WAFIIS服务器*....
Linux进程隐藏:中级篇 – 作者:imnoone
前言上篇介绍了如何在有源码的情况下,通过 argv[] 及 prctl 对进程名及参数进行修改,整篇围绕/proc/pid/目录和 ps、top 命令进行分析,做到了初步隐藏,即修改了 /proc/pid/stat 、/proc/pi...
FastJson历史漏洞研究(二) – 作者:alphalab
前言本文衔接上一篇文章《FastJson历史漏洞研究(一)》,继续探讨一下FastJson的历史漏洞。这次将要介绍的是Fastjson 1.2.47版本存在的漏洞成因以及其利用方式。Fastjson 1.2.47漏洞分析Fastjs...
Apache Struts2–052远程代码执行漏洞复现 – 作者:lyjsyqw
0x00漏洞简述2017年9月5日,Apache Struts发布最新的安全公告,Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9805(S2-052)。漏洞的成因是由于使用XStreamHa...
WAF代码剖析之初识openresty – 作者:陌度
为什么会有这一系列的文章?自从这几年信息安全的大力发展,信息安全的建设是逐步发展起来,作为甲方安全工程师,一个人的安全部,使用开源的WAF部署防御攻击,仿佛是件很平常的事情,但是开源...
CCNA快速学习–笔记整理1(原创) – 作者:test555
Type ofnetwork devicesend devices (host):clients 客户机、servers 服务器End devices originate the data that flows through the network终端设备会发出通过网络传输的数据End devices a...
奋战3个月,我们挖到55个苹果漏洞,获得近30万美元奖金 – 作者:奇安信代码卫士
从2020年7月6日至10月6日整整3个月的时间,本文作者、Brett Buerhaus、BenSadeghipour、Samuel Erb 和TannerBarnes 共同挑战苹果漏洞奖励计划。结果,他们从苹果基础设施中发现了55个漏洞,它...
Fastjson小于1.2.68版本反序列化漏洞分析 – 作者:云影实验室
前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。一、漏洞概述在...