一、背景前段时间在做代码审计，发现很多项目都存在安全隐患，大多数是来自于参数未过滤所造成的；为了解决这个问题，我将Web安全开发规范手册V1.0进行了培训，但是效果并不是太理想，原因是培...

nginx访问上游服务器upstream分为几个阶段：1.启动upstream。2.连接上游服务器。3.向上游发送请求。4.接收上游响应(包头/包体)。5.结束请求。主要数据结构：ngx_http_upstream_tngx_http_upstre...

关于CheeseToolsCheeseTools这个项目基于MiscTool项目创建，可以帮助广大研究人员实现横向渗透和代码执行。CheeseExec该工具基于类PsExec功能来实现命令执行和横向渗透，并且必须以特权用户的身...

Fastjson框架漏洞复现笔记1、什么是JNDI？JNDI是一组应用程序接口，为开发人员查找和访问各种资源提供了统一的通用接口。JNDI是应用程序设计的API，可以根据名字动态加载数据，支持的服务有以下...

在前些时间，国赛上再一次遇到了服务器本地文件包含session的漏洞，这是个老生常谈的东西了，但还是常常可以碰到，而我们想利用session来getshell往往还需要一些特殊的方法，借此机会，研究一番...

金融行业的数字化使高级分析、机器学习、人工智能、大数据和云等技术能够渗透并改变金融机构在市场上的竞争方式。大公司正在采用这些技术来执行数字化转型、满足消费者需求并增加盈收。虽然大多...

世界正处于在数据时代。这意味着今天产生的数据比人类历史上过去 5000 年的数据还要多——每天大约产生2.5 万亿字节的数据。每次有人发送电子邮件或文本、下载应用程序、发送任何数量看似微不足...

前言Vulhub是一个开源的漏洞靶场，无需你有很强的docker知识，只需要简单的几句命令，就可以搭建一个完整的靶场环境。官方推荐使用Ubuntu，但是昨天我在docker的安装上，被折磨得身心俱疲，后来...

客户端为C++语言，服务端为Pascal语言——网络模型之消息异步；（帖源码）1，消息异步的话，顾名思义，是基于消息传递信号，而响应相相对应事件的网络模型。因为我只需要客户端仅仅听从于服务端...

全球动态1.FIN7主管因盗取数百万张信用卡被判7年监禁25日消息，一名乌克兰国民和一名FIN7黑客组织的中级主管，因冒充'测试员'进行电汇欺诈的信用卡犯罪而被判处7年监禁。[外刊-阅读原文]2.Crack...