*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 核心点  1. 绕过程序中的条件 2. 绕过 csp 3. 创建...

0X00 背景写这篇技术文有两个诱因，一是大菲兄弟@大菲哥和朋友从国外买了一篇二十美刀的XSS文章，做了翻译，自古XSS和sql注入是倚天屠龙的对立统一关系，所以有朋友说想看一看sql注入的文章。二...

近期，以太坊go-ethereum公开了两份审计报告，玄猫安全团队第一时间对其进行了翻译工作。此为第二篇《Ethereum Clef Review》即2018-09-14_Clef-audit_NCC，此审计报告完成时间为2018年9月14日...

社交软件几乎我们每个人都会接触，朋友日常交流、同事工作沟通、甚至还会成为新闻信息获取渠道。在我们跟这些平台“打得火热”的同时，却已经有人开始通过它们“赚钱”了。不久前，根据萨里大学...

*本文作者：温酒，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。前言之前测试的时候发现很多菜刀的马都不能用了，大马也几乎3/4不能正常在php7运行。网上百度也没有找到太多相关性的文章，...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文作者：0x4d69，本文属 FreeBuf 原创奖励计划，未经许可禁止转载...

一、前言在上一篇中说明了Kerberos的原理以及SPN的扫描和Kerberoasting的攻击方式，本章具体说一下Kerberos曾经爆出的一个经典的漏洞MS14068和金银票据的原理和利用方式。MS14068是一个比较经典...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。背景近日，阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repos...

*本文原创作者：宇宸@默安科技合规研究小组，本文属于FreeBuf原创奖励计划， 未经许可禁止转载序本篇将会重点讨论一下等保中对网络安全的要求，这里说明一下，文中内容全是本人个人观点，如有不...

*本文原创作者：罹♛殇，本文属FreeBuf原创奖励计划，未经许可禁止转载 0x01:前言WEB层的入侵检测一般会根据agent头信息、POST包请求信息基于攻击特征结合多逻辑语句以及响应体检测，HIDS基...