国内蓝军概念起源于军事红蓝对抗演练，习惯上将我方正面部队称之为红军，攻击方则为蓝军。国外则正好反过来，用Red team代表攻击方，Blue Team代表防守方。回到网络安全领域，2016年，《网络安...

施乐（Xerox）公司11月30日发布了一个安全补丁，修复了影响其DocuShare软件的两个安全漏洞。Xerox DocuShare是一个企业文档管理系统，适用于中大型企业。成功利用这两个漏洞，攻击者可窃取DocuS...

ffmpeg 任意文件读取漏洞 / SSRF 漏洞 （CVE-2016-1897/CVE-2016-1898）Port : 8090FFmpeg 是一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。功能非常强大，是每个...

0x00简介WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件，BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J...

CTF（Capture The Flag，夺旗赛）CTF 的前身是传统黑客之间的网络技术比拼游戏，起源于 1996 年第四届 DEFCON，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息...

bypass disable function是否遇到过费劲九牛二虎之力拿了webshell却发现连个scandir都执行不了?拿了webshell确实是一件很欢乐的事情，但有时候却仅仅只是一个小阶段的结束；本文将会以webshell...

作者：掌控安全-柚子ssrf基础知识ssrf的定义SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的...

在该Writeup中，作者通过子域名枚举、文件枚举和代码审计方式，成功构造了有效的服务端请求，实现了Facebook某网站的SSRF（服务端请求伪造），可通过该方式探测收集Facebook网站内部信息，漏洞...

最近一直在学SSRF，正好在CTFHub上面发现一个SSRF的技能树靶场，感觉不错，就做了做。该靶场涵盖了最基础的SSRF利用到SSRF攻击内网应用再到SSRF常规的Bypass思路，题目难度比较基础，对小白十分...

Xstream 是 Java 类库，用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件，允许在 BSD 许可证的许可下分发。0x01 漏洞描述Xstream上次对CVE-2020-26217处理并不彻底，...