如何发现Web App Yummy Days的安全漏洞?
如何发现Web App Yummy Days的安全漏洞?
2019-04-21  
在本文中,我将向你展示我是如何发现Web App Yummy Days的安全漏洞的,以及如何构建一个简单的自动客户端,让我获得Yummy Days促销的奖品。
WEB安全 已有 4754 人围观 ,发现 2 个不明物体
挖洞经验 |  一次INSERT查询的无逗号SQL注入漏洞构造利用($10k)
挖洞经验 | 一次INSERT查询的无逗号SQL注入漏洞构造利用($10k)
2019-04-20  
本文分享的是作者在一次众测中的SQL报错型注入漏洞发现过程。
WEB安全漏洞 已有 16778 人围观 ,发现 5 个不明物体
通过Thinkphp框架漏洞所发现的安全问题
通过Thinkphp框架漏洞所发现的安全问题
2019-04-18  
在一次偶然的机会发现公司某个网站存在thinkphp的远程命令执行漏洞,自此对这个漏洞爱不释手。这究竟是为什么呢?
WEB安全 已有 216052 人围观 ,发现 11 个不明物体
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
2019-04-18  
如果要把ViewState 通过数据库或其他持久化设备来维持,需要采用特定的LosFormatter 类来序列化/反序列化。
WEB安全 已有 21980 人围观 ,发现 1 个不明物体
Metasploit之文件解析远程代码执行(NAT穿透+IIS发布)
Metasploit之文件解析远程代码执行(NAT穿透+IIS发布)
2019-04-18  
前几天确实太忙了,今天刚一得空,晚上熬夜写一篇,做任何事情都要坚持,不是吗?!
WEB安全 已有 16644 人围观 ,发现 9 个不明物体
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
挖洞经验 | 下载Livestream网站中用户未公开或定期排播视频
2019-04-17  
最近,我发现了一个关于Livestream网站的漏洞,利用该漏洞可以获取其上任意注册用户的未公开或定期排播流视频内容。
WEB安全漏洞 已有 32579 人围观 ,发现 1 个不明物体
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
2019-04-17  
使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 17674 人围观
深入理解JavaScript Prototype污染攻击
深入理解JavaScript Prototype污染攻击
2019-04-16  
JavaScript是一门非常灵活的语言,我感觉在某些方面可能比PHP更加灵活。所以,除了传统的SQL注入、代码执行等注入型漏洞外,也会有一些独有的安全问题,比如今天要说这个prototype污染。
WEB安全 已有 49254 人围观 ,发现 5 个不明物体
数据分析与可视化:谁是安全圈的吃鸡第一人
数据分析与可视化:谁是安全圈的吃鸡第一人
2019-04-15  
安全圈的黑阔大佬们,在不开挂的情况下,谁会是他们之中技术最好的呢?带着这样的疑问,作者试着从数据分析的角度来看看谁会是安全圈的吃鸡第一人。
WEB安全 已有 392785 人围观 ,发现 50 个不明物体
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
2019-04-15  
BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary它是直接用二进制方式把对象进行序列化,优点是速度较快,在不同版本的.NET平台里都可以兼容。
WEB安全 已有 20007 人围观
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
2019-04-15  
在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
WEB安全 已有 30171 人围观
挖洞经验 | 利用Semmle QL查询语言发现Facebook Fizz的DoS漏洞($10k)
挖洞经验 | 利用Semmle QL查询语言发现Facebook Fizz的DoS漏洞($10k)
2019-04-14  
本文讲述的是Semmle公司研究员通过Semmle QL查询语言发现的,关于Facebook Fizz项目的一个拒绝服务漏洞(DoS)。
WEB安全漏洞 已有 45835 人围观
使用Sboxr实现DOM XSS漏洞的自动挖掘与利用
使用Sboxr实现DOM XSS漏洞的自动挖掘与利用
2019-04-13  
这一系列文章将为大家展示如何在单页或JavaScript富应用上,使用Sboxr实现DOM XSS漏洞的自动挖掘与利用。
WEB安全 已有 49969 人围观
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
2019-04-11  
NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据。
WEB安全 已有 26869 人围观 ,发现 1 个不明物体
奇淫技巧之Metasploit远程代码执行“冲击波”
奇淫技巧之Metasploit远程代码执行“冲击波”
2019-04-10  
最近在整理各种漏洞的利用技巧,我在Freebuf上每天都能获取很多干货,为了回馈freebuf和各位小伙伴,希望我的文章能帮到大家。
WEB安全 已有 280110 人围观 ,发现 24 个不明物体
如何使用JavaScript混淆来躲避AV
如何使用JavaScript混淆来躲避AV
2019-04-09  
前不久,Cybaze-Yoroi ZLAB的安全研究人员发现了一个值得深入研究的可疑JavaScript文件。
WEB安全 已有 64291 人围观 ,发现 4 个不明物体

最新话题

活动预告

css.php
  • 河北成立冬季项目运动队 让“冷项目”热起来 2019-04-21
  • 【三年决战奔小康】一封来自甘南精准扶贫户的感谢信 2019-04-21
  • 长江中下游正式“入梅”!中东部高温降雨齐上阵 湖北中北部有大到暴雨 2019-04-20
  • (原创)取消“份子钱”是出租车改革必须迈出的一步 2019-04-20
  • 风水神先生的地下工作做得不算太到位 2019-04-20
  • 中山八路总站 调整12公交线 2019-04-19
  • 关于对部分载客汽车采取交通管理措施的通告 2019-04-19
  • 中国4月减持58亿美元美国国债 仍是美国最大债主 2019-04-18
  • 导赏!广美研究生导师带你看2018研究生毕业作品展 2019-04-18
  • 女出纳侵吞千万公款扮富婆 7年未被公司发现 2019-04-17
  • 回复@看着就想笑:真有点赞机,还不点个百八十个赞 2019-04-17
  • 北京师范大学新闻传播学院执行院长、教育部长江学者特聘教授喻国明做客人民网 2019-04-17
  • 离开城市告别妻儿 他陪母亲“归园田居”(图) 2019-04-17
  • 合肥一6万元旧车竟卖出20万天价 背后原因让人愤怒! 2019-04-16
  • 中国公民可72小时免签停留俄大城市?中俄正在协商 2019-04-16
  • 86| 618| 251| 843| 773| 656| 708| 789| 606| 966|