漏洞信息收集第39页

企业面临的典型网络安全风险及其防范策略

由于企业面临着广泛的威胁，因此通过监控和缓解最关键的威胁和漏洞。网络安全问题有七大类，包括多种威胁，以及团队应针对每种威胁实施的特定检测和缓解方法。

知白守黑V·2024-01-24 21:42

初识 shellcode

文章目录shellcode什么是shellcode作用shellcode编写函数调用触发中断32位触发中断64位pwntools步骤32位64位shellcode什么是shellcode通常是指软件漏洞利用过程中使用一小段机器代码作用启动

她送的苦茶子·2024-01-24 20:18

JF2—CommonsCollections之CC6

URLDNS的污点选取的是DNS查询功能，无法执行命令，只能用于漏洞探测。

AxisX·2024-01-24 20:59

XXE漏洞概念

1、XXE漏洞概念XXE(XMLExternalEntityInjection)又称为XML外部实体注入。

落樱坠入星野·2024-01-24 19:32

易优demo网站测试结果

易优demo网站测试结果-061、信息收集网站账号：admin密码：Aa1234562、存在的漏洞2.1后台弱口令漏洞http://eyoucms-s347fqn.gxalabs.com/login.php

落樱坠入星野·2024-01-24 19:02

通过浏览器URL地址，5分钟内渗透你的网站！很刑很可拷！

今天我来带大家简单渗透一个小破站，通过这个案例，让你深入了解为什么很多公司都需要紧急修复各个中间件的漏洞以及进行URL解析拦截等重要操作。这些措施的目的是为了保护网站和系统的安全性。

会python的小孩·2024-01-24 16:26

小迪安全学习笔记--第37天：web漏洞--反序列化之PHP和java全解（上)

PHP反序列化原理:未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。serialize()//将一个对象转换成一个字符串unseriglize()//将字符串还原成一个对象触发:unserialize函数的变量可控，文件中存在可利

铁锤2号·2024-01-24 16:52

小迪安全学习笔记--第38天：web漏洞-反序列化之PHP和JAVA全解（下）

有个工具，ysoserial：https://github.com/frohoff/ysoserial概念序列化和反序列化序列化(serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据，并将其还原为对象的过程，称为反序列化。靶场：webGoathttps://blog.csdn.net/

铁锤2号·2024-01-24 16:52

WEB漏洞-反序列化之PHP&JAVA全解（上）

PHP反序列化原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。serialize()//将一个对象转换成一个字符串unserialize()//将字符串还原成一个对象触发：unserialize函数的变量可控，文件中存在可利

深白色耳机·2024-01-24 16:21

WEB漏洞-反序列化之PHP&JAVA全解（下）

序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。反序列化：从存储区中读取该数据，并将其还原为对象的过程，成为反序列化。小例子：使用writeObject()函数对person对象进行序列化，并把序列化后的字符串存入文件d:/person.txt中使用readObject()对文件d:/p

深白色耳机·2024-01-24 16:21

V2022全栈培训笔记（WEB攻防46-WEB攻防-通用漏洞&PHP反序列化&原生类&漏洞绕过&公私有属性）

第46天WEB攻防-通用漏洞&PHP反序列化&原生类&漏洞绕过&公私有属性知识点：1、反序列化魔术方法全解2、反序列化变量属性全解3、反序列化魔术方法原生类4、反序列化语言特性漏洞绕过~其他魔术方法共有

清歌secure·2024-01-24 16:20

web漏洞-反序列化之JAVA全解（38）

首先第一个就是概念。第二个是他的利用，一个好用的工具ysoserial，主要用来生成工具的paload，修复大差不差。#概念：我们有时候需要保存某一个对象的信息，会进行一些操作，类似于反序列化，序列化的过程中的对象，就是我们所说的class的状态以二进制储存到文件的系统中，然后另外一个系统对这个二进制进行读取，再来还原，如下图这样序列化那段英文字母的意思是，写入对象反序列化英文字母意思，读取对象就

上线之叁·2024-01-24 16:20

第38天-WEB 漏洞-反序列化之 PHP&JAVA 全解(下)

导图序列化序列化(Serialization)：将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。反序列化反序列化：从存储区中读取该数据，并将其还原为对象的过程，称为反序列化。Java中的API实现:位置:Java.io.ObjectOutputStreamjava.io.ObjectlnputStream序列化:ObjectOutputSt

IsecNoob·2024-01-24 16:18

38-WEB漏洞-反序列化之PHP&JAVA全解（下）

WEB漏洞-反序列化之PHP&JAVA全解（下）一、Java中API实现二、序列化理解三、案例演示3.1、本地3.2、Java反序列化及命令执行代码测试3.3、WebGoat_Javaweb靶场反序列化测试

月亮今天也很亮·2024-01-24 16:17

网络安全中级进阶试题

A.查找系统漏洞B.提高网络速度C.加密通信D.防火墙配置什么是VPN的作用？A.防止病毒传播B.提供匿名浏览C.在不安全的网络上建立安全连接D.加速网络连接在加密中，密钥的长短对安全性有何影响？

知孤云出岫·2024-01-24 15:08

齐心抗疫: 南京/扬州/郑州疫情趋势分析（数据截至20210810）

当前防疫细节漏洞仍有不少，需继续努力尽快堵上。全员核酸检测的程序和操作方

小刺猬乖乖·2024-01-24 14:10

记一次Redis漏洞导致服务器被入侵以及解决的过程

其实这个问题在网上都有说明。然而因为本人是开发出身，运维方面比较欠缺，所以才会遇到此问题，遂记录下来，以此为戒。被入侵现象服务器多了很多莫名其妙的操作，根据查看操作记录命令history得到。服务器会莫名其妙重启。经常ssh免密登录失效。apt-get使用报错。报错log如下：insserv:warning:script'S01wipefs'missingLSBtagsandoverridesin

orisonchan·2024-01-24 14:48

使用云服务器被攻击，该如何防止ddos攻击

服务器都有可能存在漏洞或处理配备存在差错，若没有

德迅云安全杨德俊·2024-01-24 14:30

34、WEB攻防——通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用

文章目录黑盒：个人用户中心是否存在文件上传功能；后台管理系统是否存在文件上传功能；字典目录扫描探测文件上传地址；字典目录扫描探测编辑器目录地址。网站调用常见的编辑器，编辑器地址都是默认的。白盒：看三点，中间件、编辑器、功能代码中间件直接看语言环境常见搭配编辑器直接看目录机构或搜索关键字功能代码直接看源码应用或搜索关键字在白盒中，根据数据包的请求地址来看后端哪个文件处理该请求。某个目录不允许执行ph

PT_silver·2024-01-24 14:24

使用WAF防御网络上的隐蔽威胁之代码执行攻击

攻击者通过漏洞在目标系统上运行恶意代码。这通常是由于应用程序或系统的安全漏洞，如输入验证不足、软件缺陷或配置错误。这些漏洞为攻击者提供了注入和执行恶意代码的机会。

小名空鵼·2024-01-24 11:15

【建议收藏】零基础入门|2024最全的白帽黑客学习教程，从0到黑客高手！

我目前虽然算不上顶尖的白帽大佬，但自己在补天挖漏洞也能搞个1万多块钱。给大家分享一下我的学习方法，0基础也能上手学习,如果你能坚持学完，你也能成为厉害的白帽子！

网安老伯·2024-01-24 11:41

网络中黑客攻击使用手段Top25漏洞常见参数，8个WAF绕过，一些用于查找敏感文件的语法

Top25漏洞常见参数，8个WAF绕过，一些用于查找敏感文件的语法，主要包括：执行URL重定向、SQL注入、LFI本地文件包含、SSRF服务端请求伪造、XSS跨站脚本攻击等等。

代码讲故事·2024-01-24 11:10

漏洞攻击中怎么去做最全面覆盖的sql注入漏洞攻击？表信息是如何泄露的？预编译就一定安全？最受欢迎的十款SQL注入工具配置及使用

漏洞攻击中怎么去做最全面覆盖的sql注入漏洞攻击？表信息是如何泄露的？预编译就一定安全？最受欢迎的十款SQL注入工具配置及使用。

代码讲故事·2024-01-24 11:33

软件安全测试的重要性简析，专业安全测试报告如何申请?

软件安全测试是指通过一系列的方法和技术，对软件系统中的潜在漏洞和安全威胁进行发现、评估和修复的过程。

卓码测评·2024-01-24 11:55

burp靶场--业务逻辑漏洞

burp靶场–业务逻辑漏洞https://portswigger.net/web-security/logic-flaws#what-are-business-logic-vulnerabilities

0rch1d·2024-01-24 11:22

情商是什么？

和挑剔的人不妨先肯定他的思路然后顺着他的模式找到他的漏洞。讲一个故事林肯当上美国总统后不久就有位女士跑来给儿子要官做，结果对儿子现有

三城一郭·2024-01-24 10:49

SSL 64位块大小密码套件支持( SWEET32 )

3389存在SSL漏洞：SSL64位块大小密码套件支持(SWEET32)解决方法：使用Windows自带的FIPS代替SSL加密1）启用FIPS操作步骤：管理工具->本地安全策略->安全设置->本地策略

luminous_you·2024-01-24 10:56

如何防护网站存在的sql注入攻击漏洞

SQL注入攻击是最危险的Web漏洞之一，危害性极大，造成的后果不堪设想，因此受到了大家的高度重视。那么你知道SQL注入攻击防范方法有哪些吗?SQL注入是一种网站的攻击方法。

德迅云安全-文琪·2024-01-24 10:50

拼多多账号如何判断是不是黑号了？拼多多黑号后多长时间才会恢复？

然而，一些不法分子利用漏洞和欺诈手段进行非法操作，导致存在一些拼多多黑号。本文将介绍如何判断拼多多黑号以及黑号变白的时间。➤推荐网购薅羊毛app“氧惠”，一个领隐藏优惠券+现金返利的平台。

氧惠导师·2024-01-24 10:40

内网信息收集总结

本机信息查询常用信息本机服务列表wmicservicelistbrief本机进程列表Tasklist/v浏览器代理信息regquery"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings"RDP端口号（16进制）regquery"HKEY_LOCAL_MACHINE\SYSTEM\CurrentC

廾匸0705·2024-01-24 10:13

【黑客技术】因报告密码漏洞，程序员被判“黑客罪行”罚款 3000 欧元

**据安全平台wortfilter新闻稿，一名名为HendrikH.的研究人员发现IT服务公司ModernSolutionGmbH的服务器存在密码漏洞，**该研究人员向该公司上报漏洞后未获回应便在wortfilter

网安老伯·2024-01-24 10:10

【黑客攻击】微软遭受由APT组织 Midnight Blizzard发起的网络攻击

此次攻击并非由Microsoft产品或服务中的漏洞引起。目前没有证据表明攻击者已获得对客户环境、生产系统、源代码或人

网安老伯·2024-01-24 10:38

【一周安全资讯0120】OpenAI 公布2024选举虚假信息打击计划；关于防范GitLab高危安全漏洞的风险提示

要闻速览1、OpenAI公布2024选举虚假信息打击计划2、工信部印发《区块链和分布式记账技术标准体系建设指南》3、关于防范GitLab高危安全漏洞的风险提示4、苹果承认GPU安全漏洞存在，iPhone12

聚铭网络·2024-01-24 09:56

2018-07-12

唇膏的魔力张爱玲曾写她第一次投稿到大美晚报得到五元钱稿费，换了一支丹祺唇膏宋美龄到了八十几岁的时候，明显手脚不太灵活，化妆时难免漏洞百出，但仍是坚持不懈地亲手涂擦口红你是否会想，一支小小的唇膏，怎么对女人有这么大的魔力

健儿孙·2024-01-24 09:08

CSRF：跨站请求伪造攻击

请求时客户端发起的，服务端未严格验证所导致的漏洞，攻击者可以通过多种方式欺骗用户点击请求：1，通过社工方式将请求发送给受害者。2.将伪造的请求嵌入到网页中。典型目的：CSRF

TEST_a130·2024-01-24 08:14

安全专题

SQL注入的四种方案[实践总结]如何防护orderby导致的SQL注入[实践总结]限制正则表达式匹配次数/时间防止DoS攻击[实践总结]javaXML解析防止外部实体注入[Ref]yaml.load的漏洞利用

张紫娃·2024-01-24 08:08

vs实用调试技巧

1.bugbug本意是“昆虫”或“虫子”，现在一般是指在电脑系统或程序中，隐藏着的一些未被发现的缺陷或问题，简称程序漏洞。

c23856·2024-01-24 08:01

2021-03-05今日随笔：

哈哈，这句话有漏洞，要以真的不哭为标准。今天的主要节奏就是三八活动，上午布置场地，下午就是正式活动。不主要负责活动了，轻松很多，帮帮忙就好。今天还是犯了有低级错误，也还是不断地在反思姐姐说的提高站位。

牵着蜗牛散步_9c1c·2024-01-24 08:29

德国程序员因报告漏洞被判罚 2.4 万元

德国利希地方法院最近发布了一项新的判决结果，裁定一名程序员因未经授权访问第三方计算机系统和窥探数据，违反了《德国刑法典》（StGB）中的黑客条款202a，并被处以3000欧元的罚款（约2.35万元），同时需承担所有的诉讼费用。在2021年6月，名为HendrikH.的研究人员在为IT服务公司ModernSolutionGmbH的客户解决软件故障时，发现该公司的代码通过MySQL连接到一台Maria

Lorin 洛林·2024-01-24 08:59

2024年密码泄露王炸：7千万邮箱账号、1 亿密码泄露

FreeBuf_·2024-01-24 08:57

黑客“盯上了” Atlassian Confluence RCE 漏洞

BleepingComputer网站消息，安全研究人员近日观察到一些威胁攻击者正在试图针对CVE-2023-22527远程代码执行漏洞“做文章”，以发起大规模网络攻击活动。

FreeBuf_·2024-01-24 08:54

通过蜜罐技术获取攻击者手机号、微信号【网络安全】

首先，我们先讲一下蜜罐的概念，你可以简单理解较为蜜罐就是一个陷阱，故意暴露一些我们人为设计好的漏洞，让攻击者自投罗网。

H_00c8·2024-01-24 07:18

Redis应用（1）缓存（1.2）------Redis三种缓存问题

2、原因：比如用一个不存在的用户id获取用户信息，不论缓存还是数据库都没有，若黑客利用此漏洞进行攻击可能压垮数据库。3、解决方法：（1）缓存空对象：对空

w_t_y_y·2024-01-24 07:23

Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南

SQL注入—sqli-labs靶场零、前言一、环境搭建①、VirtualBox②、KaliLinux③、Docker二、闯关开始1、Less-1—'—union2、Less-2—数字型—union3、Less-3—')—union4、Less-4—")—union5、Less-5—'—布尔盲注6、Less-6—"—布尔盲注7、Less-7—'))7.1—布尔盲注7.2—文件写入8、Less-8—'

Dr.Neos·2024-01-24 05:01

《别人怎么对你，都是你教的》第二章

看见你的情绪模式，修补你的能量漏洞。情绪是一种能量，没有好坏之分。

周永梅·2024-01-24 04:33

安全基础~通用漏洞2

文章目录知识补充盲注Boolean盲注延时盲注报错注入二次注入知识补充盲注常用if(条件,5,0)#条件成立返回5反之返回0left(database(),1)，database()#left(a,b)从左侧截取a的前b位盲注盲注就是在注入过程中，获取的数据不能回显至前端页面。基于布尔的SQL盲注-逻辑判断regexp,like,ascii,left,ord,mid-基于时间的SQL盲注-延时判断

`流年づ·2024-01-24 04:14

Aspx漏洞总结

第一部分，.NET项目当中的dll都可以进行反编译：在java中有很多jar包，而在.NET框架中的bin中对应有很多DLL文件，bin下面都是可执行文件，这些文件都是很多代码封装的，想要查看源码，都需要通过反编译的方式。区分：.NETASPXASPASP作为技术/框架:ASP是一种服务器端技术或框架，用于创建动态的、交互式的Web页面。它允许在服务器上执行脚本代码以生成动态内容。使用脚本语言（如

carrot11223·2024-01-24 04:43

安全基础~通用漏洞1

文章目录知识补充Acess数据库注入MySQL数据库PostgreSQL-高权限读写注入MSSQL-sa高权限读写执行注入Oracle注入Mongodb注入sqlmap基础命令知识补充orderby的意义：union操作符用于合并两个或多个select语句的结果集。union内部的每个select语句必须拥有相同数量的列，也就是说select链接所返回的列必须是相同的，且必须拥有相似的数据类型。同

`流年づ·2024-01-24 04:12

实习记录-第二天

今天导师给我发了一些资料，有些是公司内部的编写规范流程，有些是一些常见的漏洞的测试方法和修复方法，总之从早上学到下班时间，大概学了：2024.1.23总结：学习xxxx安全漏洞评估实施指南：重点：1.漏洞扫描过程

carrot11223·2024-01-24 04:12

一文让你彻底搞懂cookie和session产生漏洞的原理

首先让我们来看看登录的一般流程：输入账号密码提交给后端；后端进行判断账号密码是否一致，这里的逻辑根据每个程序员的想法去写；如果通过2登录成功，跳转登录成功的页面；如果通过2登录失败，跳转重新登录的页面；后台管理系统有很多文件，判断登录之后，进入这些文件都需要加以验证是否登录，否则登录就只起了一次作用，所以才会产生cookie和session的概念。会有这么一个专门的文件进行验证，这里面应该会用到c

carrot11223·2024-01-24 04:41

推荐频道

漏洞信息收集