漏洞扫描工具第37页

web漏洞-反序列化之JAVA全解（38）

首先第一个就是概念。第二个是他的利用，一个好用的工具ysoserial，主要用来生成工具的paload，修复大差不差。#概念：我们有时候需要保存某一个对象的信息，会进行一些操作，类似于反序列化，序列化的过程中的对象，就是我们所说的class的状态以二进制储存到文件的系统中，然后另外一个系统对这个二进制进行读取，再来还原，如下图这样序列化那段英文字母的意思是，写入对象反序列化英文字母意思，读取对象就

上线之叁·2024-01-24 16:20

第38天-WEB 漏洞-反序列化之 PHP&JAVA 全解(下)

导图序列化序列化(Serialization)：将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。反序列化反序列化：从存储区中读取该数据，并将其还原为对象的过程，称为反序列化。Java中的API实现:位置:Java.io.ObjectOutputStreamjava.io.ObjectlnputStream序列化:ObjectOutputSt

IsecNoob·2024-01-24 16:18

38-WEB漏洞-反序列化之PHP&JAVA全解（下）

WEB漏洞-反序列化之PHP&JAVA全解（下）一、Java中API实现二、序列化理解三、案例演示3.1、本地3.2、Java反序列化及命令执行代码测试3.3、WebGoat_Javaweb靶场反序列化测试

月亮今天也很亮·2024-01-24 16:17

网络安全中级进阶试题

A.查找系统漏洞B.提高网络速度C.加密通信D.防火墙配置什么是VPN的作用？A.防止病毒传播B.提供匿名浏览C.在不安全的网络上建立安全连接D.加速网络连接在加密中，密钥的长短对安全性有何影响？

知孤云出岫·2024-01-24 15:08

齐心抗疫: 南京/扬州/郑州疫情趋势分析（数据截至20210810）

当前防疫细节漏洞仍有不少，需继续努力尽快堵上。全员核酸检测的程序和操作方

小刺猬乖乖·2024-01-24 14:10

记一次Redis漏洞导致服务器被入侵以及解决的过程

其实这个问题在网上都有说明。然而因为本人是开发出身，运维方面比较欠缺，所以才会遇到此问题，遂记录下来，以此为戒。被入侵现象服务器多了很多莫名其妙的操作，根据查看操作记录命令history得到。服务器会莫名其妙重启。经常ssh免密登录失效。apt-get使用报错。报错log如下：insserv:warning:script'S01wipefs'missingLSBtagsandoverridesin

orisonchan·2024-01-24 14:48

使用云服务器被攻击，该如何防止ddos攻击

服务器都有可能存在漏洞或处理配备存在差错，若没有

德迅云安全杨德俊·2024-01-24 14:30

34、WEB攻防——通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用

文章目录黑盒：个人用户中心是否存在文件上传功能；后台管理系统是否存在文件上传功能；字典目录扫描探测文件上传地址；字典目录扫描探测编辑器目录地址。网站调用常见的编辑器，编辑器地址都是默认的。白盒：看三点，中间件、编辑器、功能代码中间件直接看语言环境常见搭配编辑器直接看目录机构或搜索关键字功能代码直接看源码应用或搜索关键字在白盒中，根据数据包的请求地址来看后端哪个文件处理该请求。某个目录不允许执行ph

PT_silver·2024-01-24 14:24

使用WAF防御网络上的隐蔽威胁之代码执行攻击

攻击者通过漏洞在目标系统上运行恶意代码。这通常是由于应用程序或系统的安全漏洞，如输入验证不足、软件缺陷或配置错误。这些漏洞为攻击者提供了注入和执行恶意代码的机会。

小名空鵼·2024-01-24 11:15

【建议收藏】零基础入门|2024最全的白帽黑客学习教程，从0到黑客高手！

我目前虽然算不上顶尖的白帽大佬，但自己在补天挖漏洞也能搞个1万多块钱。给大家分享一下我的学习方法，0基础也能上手学习,如果你能坚持学完，你也能成为厉害的白帽子！

网安老伯·2024-01-24 11:41

网络中黑客攻击使用手段Top25漏洞常见参数，8个WAF绕过，一些用于查找敏感文件的语法

Top25漏洞常见参数，8个WAF绕过，一些用于查找敏感文件的语法，主要包括：执行URL重定向、SQL注入、LFI本地文件包含、SSRF服务端请求伪造、XSS跨站脚本攻击等等。

代码讲故事·2024-01-24 11:10

漏洞攻击中怎么去做最全面覆盖的sql注入漏洞攻击？表信息是如何泄露的？预编译就一定安全？最受欢迎的十款SQL注入工具配置及使用

漏洞攻击中怎么去做最全面覆盖的sql注入漏洞攻击？表信息是如何泄露的？预编译就一定安全？最受欢迎的十款SQL注入工具配置及使用。

代码讲故事·2024-01-24 11:33

软件安全测试的重要性简析，专业安全测试报告如何申请?

软件安全测试是指通过一系列的方法和技术，对软件系统中的潜在漏洞和安全威胁进行发现、评估和修复的过程。

卓码测评·2024-01-24 11:55

burp靶场--业务逻辑漏洞

burp靶场–业务逻辑漏洞https://portswigger.net/web-security/logic-flaws#what-are-business-logic-vulnerabilities

0rch1d·2024-01-24 11:22

情商是什么？

和挑剔的人不妨先肯定他的思路然后顺着他的模式找到他的漏洞。讲一个故事林肯当上美国总统后不久就有位女士跑来给儿子要官做，结果对儿子现有

三城一郭·2024-01-24 10:49

SSL 64位块大小密码套件支持( SWEET32 )

3389存在SSL漏洞：SSL64位块大小密码套件支持(SWEET32)解决方法：使用Windows自带的FIPS代替SSL加密1）启用FIPS操作步骤：管理工具->本地安全策略->安全设置->本地策略

luminous_you·2024-01-24 10:56

如何防护网站存在的sql注入攻击漏洞

SQL注入攻击是最危险的Web漏洞之一，危害性极大，造成的后果不堪设想，因此受到了大家的高度重视。那么你知道SQL注入攻击防范方法有哪些吗?SQL注入是一种网站的攻击方法。

德迅云安全-文琪·2024-01-24 10:50

拼多多账号如何判断是不是黑号了？拼多多黑号后多长时间才会恢复？

然而，一些不法分子利用漏洞和欺诈手段进行非法操作，导致存在一些拼多多黑号。本文将介绍如何判断拼多多黑号以及黑号变白的时间。➤推荐网购薅羊毛app“氧惠”，一个领隐藏优惠券+现金返利的平台。

氧惠导师·2024-01-24 10:40

【黑客技术】因报告密码漏洞，程序员被判“黑客罪行”罚款 3000 欧元

**据安全平台wortfilter新闻稿，一名名为HendrikH.的研究人员发现IT服务公司ModernSolutionGmbH的服务器存在密码漏洞，**该研究人员向该公司上报漏洞后未获回应便在wortfilter

网安老伯·2024-01-24 10:10

【黑客攻击】微软遭受由APT组织 Midnight Blizzard发起的网络攻击

此次攻击并非由Microsoft产品或服务中的漏洞引起。目前没有证据表明攻击者已获得对客户环境、生产系统、源代码或人

网安老伯·2024-01-24 10:38

【一周安全资讯0120】OpenAI 公布2024选举虚假信息打击计划；关于防范GitLab高危安全漏洞的风险提示

要闻速览1、OpenAI公布2024选举虚假信息打击计划2、工信部印发《区块链和分布式记账技术标准体系建设指南》3、关于防范GitLab高危安全漏洞的风险提示4、苹果承认GPU安全漏洞存在，iPhone12

聚铭网络·2024-01-24 09:56

2018-07-12

唇膏的魔力张爱玲曾写她第一次投稿到大美晚报得到五元钱稿费，换了一支丹祺唇膏宋美龄到了八十几岁的时候，明显手脚不太灵活，化妆时难免漏洞百出，但仍是坚持不懈地亲手涂擦口红你是否会想，一支小小的唇膏，怎么对女人有这么大的魔力

健儿孙·2024-01-24 09:08

CSRF：跨站请求伪造攻击

请求时客户端发起的，服务端未严格验证所导致的漏洞，攻击者可以通过多种方式欺骗用户点击请求：1，通过社工方式将请求发送给受害者。2.将伪造的请求嵌入到网页中。典型目的：CSRF

TEST_a130·2024-01-24 08:14

安全专题

SQL注入的四种方案[实践总结]如何防护orderby导致的SQL注入[实践总结]限制正则表达式匹配次数/时间防止DoS攻击[实践总结]javaXML解析防止外部实体注入[Ref]yaml.load的漏洞利用

张紫娃·2024-01-24 08:08

vs实用调试技巧

1.bugbug本意是“昆虫”或“虫子”，现在一般是指在电脑系统或程序中，隐藏着的一些未被发现的缺陷或问题，简称程序漏洞。

c23856·2024-01-24 08:01

2021-03-05今日随笔：

哈哈，这句话有漏洞，要以真的不哭为标准。今天的主要节奏就是三八活动，上午布置场地，下午就是正式活动。不主要负责活动了，轻松很多，帮帮忙就好。今天还是犯了有低级错误，也还是不断地在反思姐姐说的提高站位。

牵着蜗牛散步_9c1c·2024-01-24 08:29

德国程序员因报告漏洞被判罚 2.4 万元

德国利希地方法院最近发布了一项新的判决结果，裁定一名程序员因未经授权访问第三方计算机系统和窥探数据，违反了《德国刑法典》（StGB）中的黑客条款202a，并被处以3000欧元的罚款（约2.35万元），同时需承担所有的诉讼费用。在2021年6月，名为HendrikH.的研究人员在为IT服务公司ModernSolutionGmbH的客户解决软件故障时，发现该公司的代码通过MySQL连接到一台Maria

Lorin 洛林·2024-01-24 08:59

2024年密码泄露王炸：7千万邮箱账号、1 亿密码泄露

FreeBuf_·2024-01-24 08:57

黑客“盯上了” Atlassian Confluence RCE 漏洞

BleepingComputer网站消息，安全研究人员近日观察到一些威胁攻击者正在试图针对CVE-2023-22527远程代码执行漏洞“做文章”，以发起大规模网络攻击活动。

FreeBuf_·2024-01-24 08:54

通过蜜罐技术获取攻击者手机号、微信号【网络安全】

首先，我们先讲一下蜜罐的概念，你可以简单理解较为蜜罐就是一个陷阱，故意暴露一些我们人为设计好的漏洞，让攻击者自投罗网。

H_00c8·2024-01-24 07:18

Redis应用（1）缓存（1.2）------Redis三种缓存问题

2、原因：比如用一个不存在的用户id获取用户信息，不论缓存还是数据库都没有，若黑客利用此漏洞进行攻击可能压垮数据库。3、解决方法：（1）缓存空对象：对空

w_t_y_y·2024-01-24 07:23

Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南

SQL注入—sqli-labs靶场零、前言一、环境搭建①、VirtualBox②、KaliLinux③、Docker二、闯关开始1、Less-1—'—union2、Less-2—数字型—union3、Less-3—')—union4、Less-4—")—union5、Less-5—'—布尔盲注6、Less-6—"—布尔盲注7、Less-7—'))7.1—布尔盲注7.2—文件写入8、Less-8—'

Dr.Neos·2024-01-24 05:01

《别人怎么对你，都是你教的》第二章

看见你的情绪模式，修补你的能量漏洞。情绪是一种能量，没有好坏之分。

周永梅·2024-01-24 04:33

安全基础~通用漏洞2

文章目录知识补充盲注Boolean盲注延时盲注报错注入二次注入知识补充盲注常用if(条件,5,0)#条件成立返回5反之返回0left(database(),1)，database()#left(a,b)从左侧截取a的前b位盲注盲注就是在注入过程中，获取的数据不能回显至前端页面。基于布尔的SQL盲注-逻辑判断regexp,like,ascii,left,ord,mid-基于时间的SQL盲注-延时判断

`流年づ·2024-01-24 04:14

Aspx漏洞总结

第一部分，.NET项目当中的dll都可以进行反编译：在java中有很多jar包，而在.NET框架中的bin中对应有很多DLL文件，bin下面都是可执行文件，这些文件都是很多代码封装的，想要查看源码，都需要通过反编译的方式。区分：.NETASPXASPASP作为技术/框架:ASP是一种服务器端技术或框架，用于创建动态的、交互式的Web页面。它允许在服务器上执行脚本代码以生成动态内容。使用脚本语言（如

carrot11223·2024-01-24 04:43

安全基础~通用漏洞1

文章目录知识补充Acess数据库注入MySQL数据库PostgreSQL-高权限读写注入MSSQL-sa高权限读写执行注入Oracle注入Mongodb注入sqlmap基础命令知识补充orderby的意义：union操作符用于合并两个或多个select语句的结果集。union内部的每个select语句必须拥有相同数量的列，也就是说select链接所返回的列必须是相同的，且必须拥有相似的数据类型。同

`流年づ·2024-01-24 04:12

实习记录-第二天

今天导师给我发了一些资料，有些是公司内部的编写规范流程，有些是一些常见的漏洞的测试方法和修复方法，总之从早上学到下班时间，大概学了：2024.1.23总结：学习xxxx安全漏洞评估实施指南：重点：1.漏洞扫描过程

carrot11223·2024-01-24 04:12

一文让你彻底搞懂cookie和session产生漏洞的原理

首先让我们来看看登录的一般流程：输入账号密码提交给后端；后端进行判断账号密码是否一致，这里的逻辑根据每个程序员的想法去写；如果通过2登录成功，跳转登录成功的页面；如果通过2登录失败，跳转重新登录的页面；后台管理系统有很多文件，判断登录之后，进入这些文件都需要加以验证是否登录，否则登录就只起了一次作用，所以才会产生cookie和session的概念。会有这么一个专门的文件进行验证，这里面应该会用到c

carrot11223·2024-01-24 04:41

使用WAF防御网络上的隐蔽威胁之目录穿越

通过利用安全漏洞，攻击者可以通过修改URL的路径来访问系统文件或其他关键目录，这可能导致数据泄露、系统被恶意控制等严重后果。

kkong1317·2024-01-24 04:28

XML 注入漏洞原理以及修复方法

漏洞名称：XML注入漏洞描述：可扩展标记语言(ExtensibleMarkupLanguage,XML)，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言

it技术分享just_free·2024-01-24 04:28

SQL 注入漏洞原理以及修复方法

漏洞名称：SQL注入、SQL盲注漏洞描述：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

it技术分享just_free·2024-01-24 04:27

DVWA-SQL Injection(Blind)(SQL盲注)

目前网络上现存的SQL注入漏洞大多是SQL盲注。盲注中常用的几个函数：substr(a,b,c)：从b位置开始，截取字符串a的c长度count()：计算总数ascii(

简言之_·2024-01-24 03:34

when_did_you_born

image.png0x00基本file和checksec(打码打码，看不到看不到)image.png0x01ida查看image.png24行存在gets漏洞程序逻辑是第一次输入不能是1926，第二次输入利用缓冲区溢出将

常向阳_·2024-01-24 03:26

「技术原理」Spring Security的核心功能和加载运行流程的原理分析

SpringSecurity的架构总览SpringSecurity的简介说明SpringSecurity对认证、授权和常见漏洞保护提供了全方位支持。

Java老程·2024-01-24 01:21

【漏洞复现】用友NC Cloud portal/file接口任意文件读取漏洞

文章目录前言声明一、用友NCCloudportal/file接口简介二、漏洞描述三、影响版本四、漏洞复现五、修复建议前言用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。

李火火安全阁·2024-01-24 00:32

用友 GRP U8 UploadFile 命令执行漏洞

文章目录前言声明一、漏洞描述二、影响版本三、漏洞复现前言用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件，能够协助企业实现资源的高效管理，优化企业运营流程，提升整体管理水平。

李火火安全阁·2024-01-24 00:57

memcached UDP安全漏洞解决2018-03-02

近日API突然出现大量未知数据包占用了带宽导致系统异常的情况，根据多方调查发现是最近爆出的memcached的UDP漏洞导致，表现为会一直像某些ip发送大量UDP包。根据运维给出的解决办法如下文示。

Nomandia·2024-01-23 23:35

探究SpringWeb对于请求的处理过程

探究目的在路径归一化被提出后，越来越多的未授权漏洞被爆出，而这些未授权多半跟spring自身对路由分发的处理机制有关。今天就来探究一下到底spring处理了什么导致了才导致鉴权被绕过这样严重的问题。

网安Dokii·2024-01-23 23:45

网络安全产品之认识防毒墙

在互联网发展的初期，网络结构相对简单，病毒通常利用操作系统和软件程序的漏洞发起攻击，厂商们针对这些漏洞发布补丁程序。

xiejava1018·2024-01-23 22:48

疫情过后我们该反思下一步该如何生存

面对突如其来的新型冠状病毒疫情的袭来，全国进行了陆续的戒严，上到一线大城市下到农村每家每户，全国性的戒严开始了，以前在家想去哪就去哪，现在出自己家的门口都要进行体温检测人员登记，各个路口都有设立关卡，生怕有任何一丝一毫的漏洞给病毒留下可乘之机

买小火柴的小男孩·2024-01-23 22:30

推荐频道

漏洞扫描工具