GlassFish 任意文件读取漏洞Port : 4848漏洞原理glassfish 是一款 java 编写的跨平台的开源的应用服务器。java语言中会把 %c0%ae解析为 \uC0AE，最后转义为ASCCII字符的.（点）。利用 %c0%ae%c0...

前言最近找到一个可注入点：POST http://target_ip/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp HTTP/1.1Host: target_ipContent-Length: 29Cache-Contr...

2020年，新冠疫情肆虐全球，催化各行业加速数字化转型，数据的价值在进一步凸显，数据的泄露也在持续高频发生，企业面临资产与声誉的重大损失，公众深受隐私曝光与骚扰诈骗的困扰。华途信息联合...

针对SolarWinds供应链攻击简介最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大，SolarWinds官方称受影响的客户数量可能有18000家。二是攻...

此次渗透主要利用了通达OA系统的一个nday漏洞+两个1day漏洞，目前网上均无具体完整的poc，本文将尽可能详细地总结一下利用过程目标站点：探测后判断为通达OA2015版本系统，存在多处sql注入漏洞...

Lanproxy 路径遍历漏洞 (CVE-2021-3019)一、漏洞简介Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具，支持tcp流量转发，可支持任何tcp上层协议（访问内网网站、本地支付接口...

靶机地址：https://www.vulnhub.com/entry/linsecurity-1,244/靶机难度：中级（CTF）靶机发布日期：2018年7月11日靶机描述：在in.security，我们想要开发一个Linux虚拟机，该虚拟机在编写本文时...

前言：以下为几种常见的C2流量特征。AgentTesla一个基于.NET的键盘记录器。记录击键和主机的剪贴板，它最终将这些记录的信息返回到C2。它具有一个模块化的基础结构。流量特征如下HTTP下POST /zi...

致远OA ajaxAction formulaManager 文件上传漏洞一、漏洞描述致远OA是一套办公协同软件。近日，阿里云应急响应中心监控到致远OA ajaxAction 文件上传漏洞利用代码披露。由于致远OA旧版本某些aja...

近期在SDLC自动化安全扫描阶段，由于调整了扫描策略，扫出了一些跨域资源共享问题，针对这类问题，通过CSP配置能够有效解决，但日常开发过程中，对于CSP的认识相对较少，并且不知道如何进行配置...