E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
身份验证绕过漏洞
CVE-2020-17518 Apache Flink 上传路径遍历
漏洞
复现
ApacheFlink上传路径遍历
漏洞
复现一.
漏洞
描述ApacheFlink1.5.1引入了一个REST处理程序,允许您通过恶意修改的HTTPHEADER将上传的文件写入本地文件系统上的任意位置。
芝士TOM
·
2024-01-31 10:47
apache
flink
java
Apache Flink文件上传
漏洞
(CVE-2020-17518)
漏洞
代码分析
漏洞
复现参考如下文章ApacheFlink文件上传
漏洞
(CVE-2020-17518)
漏洞
复现分析_文件上传
漏洞
复现cve-CSDN博客分析代码的话,首先找到
漏洞
修复的邮件
漏洞
详情,可以看到
漏洞
概要,影响的版本
Smileassissan
·
2024-01-31 10:15
漏洞复现
flink
安全
web安全
sql注入
漏洞
之sql盲注
SQL盲注方法总结1.布尔盲注(构造逻辑判断)建议使用HackBar即可以根据返回页面判断真假的注入?id=1'and1=1--+页面正常?id=1'and1=2--+页面异常1.用盲注获取数据库长度01.判断数据库长度?id=1'9>length(database())--+与判断回显同理,得到当前数据库长度为8?id=1'and8=length(database())--+2.依次获取数据库数
#_##
·
2024-01-31 10:14
安全
mysql
SQL布尔盲注
漏洞
原理目前常用的SQL盲注主要有以下两类:基于布尔的盲注:当页面没有回显位、不会输出SQL语句报错信息时,通过返回页面响应的正常或不正常的情况来进行注入。基于时间的盲注:当页面没有回显位、不会输出SQL语句报错信息时,不论SQL语句的执行结果对错都返回一样的页面时,通过页面的响应时间进行注入。缺点:两种盲注方式都需要耗费大量的精力去进行测试,因此在渗透测试过程中常使用工具(sqlmap)或脚本来代替
平凡的学者
·
2024-01-31 10:44
Python安全
python安全
【Python脚本】SQL盲注
漏洞
——基于布尔型SQL盲注检测
1)写入脚本信息,导入模板,定义存储数据库数据的变量且定义一个request对象用来进行请求importrequestsimportoptparse#存放数据库名的变量DBName=""#存放数据库表的变量DBTables=[]#存放数据库字段的变量DBColumns=[]#存放数据字典的变量,键为字段名,值为字段数据列表DBData={}#若页面返回真,则会出现“Youarein........
网络安全之路
·
2024-01-31 10:44
python
sql
数据库
SQL注入
漏洞
-利用DNS进行盲注
在windows下面,可以通过网络路径(NUC)来访问其他主机的资源。其格式如下:\\servername\sharename,其中servername是服务器名。sharename是共享资源的名称。其中servername可以是主机IP或者域名当servername是域名的时候,会通过DNS把域名把dns解析为IP地址。DNS服务器:win2003,IP:10.1.1.31添加一条主机记录bai
HacHunter
·
2024-01-31 10:14
SQL注入
sql
SQL注入
漏洞
-SQL盲注
盲注,从字面意思理解就是看不见的注入,其实这还是属于注入的一种,只是表现形式不同。盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。也就是说执行插入的语句后,不管是否执行,是否成功,都不会回显详细的错误信息,不像普通注入一样那么容易判断。但是,注入攻击还是发生了,只是错误信息被屏蔽掉了,请记住这个就好。
HacHunter
·
2024-01-31 10:43
SQL注入
sql
数据库
sql盲注如何修补_如何修复SQL注入
漏洞
网上常用的注入手法有两种,一种是猜测,让数据库暴出用户名、密码等信息;另一种直接
绕过
weixin_39927683
·
2024-01-31 10:13
sql盲注如何修补
sql盲注 解决_SQL 盲注
漏洞
:PORTSWIGGERWEBSECURITY>>WebSecurityAcademy>>SQLinjection>>BlindSQLinjection翻译完毕...本部分,我们将描述什么是SQL盲注
漏洞
weixin_39943992
·
2024-01-31 10:13
sql盲注
解决
SQL注入
漏洞
测试(布尔盲注)
首先写这题之前,我想说一下,这一题其实是有bug的(反正我认为是,要是没有bug,欢迎指正,因为也确实挺迷我的)sqlmap出来的根本登录不了,甚是手注和sqlmap出来的东西不一样,手注出来库名是stormgroup,sqlmap是本着练习技术的原则,只要能提升自己就好,还是可以写写的以下是我按照库名为stormgroup进行的sqlmap一.sqlmap1.查看库名pythonsqlmap.p
*小瑶
·
2024-01-31 10:12
web
web
安全
1024程序员节
sql注入及盲注
漏洞
本文链接:https://blog.csdn.net/liuy_uzhi/article/details/81180197————————————————1、发现和利用sql注入
漏洞
的基本流程:首先找到有数据库交互的功能页面
小小奇点呀!
·
2024-01-31 10:42
sql
SQL注入
漏洞
——sql盲注
1.什么是盲注?在SQL注入过程中,SQL语句执行查询后,查询的数据不能回显到前端页面中,而是需要使用一些特殊的方式来判断,这个过程称之为盲注盲注分为三类:布尔盲注相较于显错注入,反应会更隐晦,比如当执行的恶意语句条件为False时(如and1=2),页面会变得异常,如页面突然没了数据,当条件为True时,页面又会恢复正常。并不会看到像显错注入那样明显的语句回显,这样的注入,我们就可以规定为布尔盲
xiaoheizi安全
·
2024-01-31 10:11
数据库
sqlserver
java
服务器端请求伪造
漏洞
服务器端请求伪造(Server-SideRequestForger,SSRF)
漏洞
是近年来比较常见的一种
漏洞
。
Lyx-0607
·
2024-01-31 10:11
笔记
确认并利用 SQL 盲注
漏洞
确认并利用SQL盲注
漏洞
一、8.5确认并利用SQL盲注
漏洞
(获取数据库当前用户名)(一)8.5.1环境准备(二)环境配置-kalilinux中firefox配置为127.0.0.18080(三)8.5.2
21级计算机网络技术1班 钟秋榕
·
2024-01-31 10:38
sql
数据库
SQL盲注
说明学习思路,源自《白帽子讲Web安全》,lcamry《MySQL注入天书》1、盲注注入
漏洞
不显示来自数据库的报错信息,报错信息中只包含通用的错误提示,此时SQL注入将不能通过报错信息直观获取注入语句的执行结果
CDLittleBoy
·
2024-01-31 10:37
sql
web安全
安全
SQL盲注
漏洞
在进行SQL注入攻击时,若确定有注入点但因页面没有回显位来显示数据,导致无法获取有效信息时,就要进行SQL盲注。5.3.1简介目前常用的SQL盲注主要分以下两类:·基于布尔的盲注:当页面没有回显位、不会输出SQL语句报错信息时,通过返回页面响应的正常或不正常的情况来进行注入。·基于时间的盲注:当页面没有回显位、不会输出SQL语句报错信息、不论SQL语句的执行结果对错都返回一样的页面时,通过页面的响
Lyx-0607
·
2024-01-31 10:36
笔记
前端Vue项目webpack打包部署后源码泄露解决
(做
漏洞
分析时,会认为该内容涉及源码泄露)原因分析webpack打包生成了map文件导致了源码泄露问题解决打包时,通常通过配置productionSourceMap:false防止源码泄露问题,一
兜里揣着星星
·
2024-01-31 10:23
webpack
前端
vue.js
【网络安全】一次实战中对tp5网站getshell方式的测试
前言之前接触tp5的站比较少,只知道利用RCE
漏洞
getshell的方式。
H_00c8
·
2024-01-31 10:50
微软警告:APT29间谍攻击猖狂;思科关键
漏洞
允许黑客远程接管统一通信系统;Jenkins
漏洞
远程代码执行攻击| 安全周报0126
1.微软警告:针对全球组织的APT29间谍攻击正在扩大注:APT29是一个与俄罗斯情报机构有关的黑客组织,也被称为CozyBear、TheDukes或OfficeMonkeys。该组织以针对政府机构、外交实体、智库、国防承包商、能源、航空航天、科研、IT公司以及其他关键基础设施实体进行长期、复杂的网络间谍活动而闻名。微软周四表示,2023年11月下旬对其系统发起网络攻击的俄罗斯国家支持威胁行动者一
开源网安
·
2024-01-31 09:34
安全周报
jenkins
安全
运维
网络安全
微软
程序人生
【
漏洞
通告】 Jenkins CLI 任意文件读取
漏洞
漏洞
概况Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
十三2
·
2024-01-31 09:33
WEB安全
jenkins
安全
Nginx解析
漏洞
复现
通过命令unzipvulhub-master.zip进入
漏洞
目录通过命令cd/vulhub-master/vulhub-master/nginx/nginx_parsing_vulnerability在当前目录下执行
plutochen05
·
2024-01-31 08:31
nginx
运维
【架构论文】SCALE: Secure and Scalable Cache Partitioning(2023 HOST)
SCALE:SecureandScalableCachePartitioning摘要LLC可以提高性能,但是会引入安全
漏洞
,缓存分配的可预测变化可以充当侧信道,提出了一种安全的缓存分配策略,保护缓存免受基于时间的侧信道攻击
Destiny
·
2024-01-31 08:36
硬件架构
架构
安全架构
安全
硬件架构
系统安全
缓存
我们只有夜晚
我们只有夜晚/顾城白天属于工作/我们只有夜晚/夜,又那么短/这么暗淡/我们不能沿着那条/古怪的路/走得更远/不能
绕过
那些/住着齿轮和火的房屋/走向那边/走向已经安静的昨天/我们总听见/娇气的小星星和米兰
安可果儿
·
2024-01-31 08:13
pikachu靶场练习——CSRF详解
CSRF概述1、原理:当黑客发现某网站存在CSRF
漏洞
,并且构造攻击参数将payload制作成网页,用户访问存在CSRF
漏洞
的网站,并且登录到后台,获取cookie,此时黑客发送带有payload的网址给用户
BBillkinpp
·
2024-01-31 07:54
靶场
csrf
php
服务器
安全
.NETCORE 开发登录接口MFA谷歌多因子
身份验证
1.maf帮助类publicclassGoogleAuthenticator{privatereadonlystaticDateTime_epoch=newDateTime(1970,1,1,0,0,0,DateTimeKind.Utc);privateTimeSpanDefaultClockDriftTolerance{get;set;}publicGoogleAuthenticator(){D
行走的生活
·
2024-01-31 07:50
.netcore
万户 ezOFFICE wpsservlet SQL注入
漏洞
复现
0x02
漏洞
概述万户ezOFFICEwpsservlet接口存在SQL注入
漏洞
,未授权的攻击者
OidBoy_G
·
2024-01-31 07:50
漏洞复现
安全
web安全
CSRF靶场练习
简述:CSRF
漏洞
实际很少;条件限制很多;局限性很大;实验仅供参考,熟悉csrf概念和攻击原理即可Pikachu靶场CSRFGET登录用户vince的账户可以看到用户的相关信息;点击修改个人信息,发现数据包里除了
I_WORM
·
2024-01-31 07:20
csrf
前端
阿YueYue - 不负人间
不负人间作词:周仁作曲:路柯编曲:刘苏州混音:刘苏州吉他:钱诚和声:海青制作人:刘子睦企划:星空统筹:星空总监:刘凯发行人:桑爱宣传、推广:看见文娱·音乐中心立春的薄冰被你破了几层磨刀乱舞也难断痴嗔夜风
绕过
梨花撩路人入凡世谁能无痕我爬过三千台阶的一片心虔诚拜过了菩萨焚香独善其身莫问莫分莫再描阴阳照乾坤我只配醉酒念诗文我坠入万丈红尘的一个平凡人执一盏孤灯照亮清净六根莫近莫认莫再记错我
孤行迹
·
2024-01-31 07:08
39、WEB攻防——通用
漏洞
&CSRF&SSRF&协议玩法&内网探针&
漏洞
利用
SSRF
漏洞
挖掘CSRFCSRF原理测试CSRF
漏洞
的工具:CSRFTesterCSRFTester设置代理,会抓取新建管理员时向服务器发送的数据包,然后用抓取的数据包构造HTML页面。
PT_silver
·
2024-01-31 06:17
小迪安全
前端
csrf
网络
40、WEB攻防——通用
漏洞
&CSRF&SSRF&代码审计&同源策略&加载函数
CSRF
绕过
:针对来源检测,可以:(1)伪造referer,需要在html代码数据包文件中固定http-referer;(2)尝试在网站任何可上传地方,上传数据包文件,取得当前同域名访问地址
PT_silver
·
2024-01-31 06:46
小迪安全
前端
csrf
CSRF笔记整理
针对网站A用户信息的一些数据操作)用户点击恶意链接瞬间会触发csrf攻击;通过网站B后台以该用户的身份向网站A发送恶意请求达到非法操作利用了cookie保持会话的功能触发条件网站A的某处操作存在CSRF
漏洞
I_WORM
·
2024-01-31 06:05
csrf
笔记
安全
SSRF笔记整理
服务器请求伪造原理简述A通过指使B对C进行攻击A无法直接访问C;B可以直接访问C;B又很听A的话
漏洞
成因服务器可以获取另一台服务器应用的数据;并且对访问的地址没有过滤和限制简单来说就是一台服务器拥有访问其他任意
I_WORM
·
2024-01-31 06:05
笔记
风炫安全Web安全学习第三十九节课 反序列化
漏洞
基础知识
风炫安全Web安全学习第三十九节课反序列化
漏洞
基础知识反序列化
漏洞
0x01序列化相关基础知识0x0101序列化演示序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式序列化(Serialization
风炫安全
·
2024-01-31 05:02
8、Robot 递归 Keyword dryrun error: Maximum limit of started keywords exceeded【robot framework】
这是因为直接调用自身可能会导致递归深度超出Python的默认限制(通常为1000层),而使用RunKeyword或CallMethod可以
绕过
这
小蟒天天向上
·
2024-01-31 05:34
Robot
Framework
算法
数据结构
linux
python
测试自动化
CTF比赛 Reverse 逆向方向:入门规划精讲
逆向工程任务要求参赛者理解并分析没有源代码的程序,以找到隐藏的信息或
漏洞
。本文旨在为初学者提供一个实战规划,帮助你入门并在CTF比赛中的逆向工程项目中取得进步。
徐小潜
·
2024-01-31 05:27
CTF_Reverse
网络安全
安全
系统安全
学习方法
经验分享
笔记
红日靶场2打点记录
因为之前成功用冰蝎免杀360,把权限反弹到了MSF上,然后MSF把权限反弹到CS上所以这次咱们走捷径直接通过反序列化
漏洞
连接(就是关掉360)因为权限弹来弹去感觉好麻烦提示大家如果想要免杀360千万别学我
曼达洛战士
·
2024-01-31 04:21
安全
基于SQL注入
漏洞
的总结与归纳(个人学习 整理归纳复习
第一节我们首先要知道什么是SQL注入
漏洞
SQL注入常见的web
漏洞
,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。
曼达洛战士
·
2024-01-31 04:21
sql
学习
数据库
DC9的通关教程 个人学习
主机扫描我们可知DC9的ip地址为192.168.52.143我们发现了他打开的端口号我们来观察一下DC9的网页如图我们通过
漏洞
扫描工具发现这个DC9有很严重的SQL注入
漏洞
例行用sqlmap进行数据库扫描根据我
曼达洛战士
·
2024-01-31 04:21
学习
红日靶场之sta&&ck远程桌面控制 个人学习)
我们首先打开webshell工具然后切换到C盘的www的文件夹下面然后我们打开MSF工具进行监听模板msfconsole启动MSF工具然后是useexploit/multi/handler使用
漏洞
辅助模块
曼达洛战士
·
2024-01-31 04:21
学习
ssrf服务器请求伪造
漏洞
(个人学习)
SSRF前置学习须了解net工作原理计算机网络网络地址转换NAT_内部本地地址-CSDN博客可以看这个来了解SSRF攻击的目标:从外网无法访问的内部网络形成原因:大部分服务器提供了从外部=应用获取数据的功能,但是对目标地址没有做过滤和限制攻击方式:借助主机A发起SSRF攻击,通过主机A像服务器B发起请求,来获得B的一些信息由于存在防火墙或者主机B是属于内网主机等原因导致无法直接访问主机B,而采取的
曼达洛战士
·
2024-01-31 04:51
学习
安全
网络
关于php弱类型比较之md5碰撞
php弱类型比较md5collisionmd5碰撞是运用了php弱类型比较的
漏洞
。比如:从变量得到两个值,两个变量的值不同,但最后md5加密过后的值相同$_GET['a']!
丶Maple
·
2024-01-31 04:48
Problem
Solving
php
交易所安全测试--信息泄露
造成信息泄露的主要原因一般是由于服务器响应包内容没有经过处理就将用户的所有信息返回,配合其他
漏洞
甚至可以批量的获取用户敏感信息,除此以外,
零时科技
·
2024-01-31 04:54
SSRF
漏洞
原理解析
文章目录0x01基础知识1、SSRF
漏洞
简介:2、主要攻击方式:3、
漏洞
形成原理:4、
漏洞
的危害:0x02
漏洞
检测1、
漏洞
验证:2、
漏洞
的可能出现点:0x03
绕过
方法:1、
绕过
限制为某种域名:2、
绕过
限制请求
未完成的歌~
·
2024-01-31 03:34
SSRF
http
php
tcp/ip
ssrf
漏洞
原理
0x01
漏洞
原理SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的
漏洞
。
qq_44713013
·
2024-01-31 03:34
网络
web安全
安全
漏洞
原理SSRF
漏洞
漏洞
原理SSRF
漏洞
服务器请求伪造SSRF(ServerSideRequestForgery)是一种服务器端请求伪造
漏洞
。它允许攻击者利用后端服务器来发送未经授权的请求。
人生的方向随自己而走
·
2024-01-31 03:04
漏洞攻防
笔记
安全
常见
漏洞
之SSRF
SSRF简介SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全
漏洞
。
吃_早餐
·
2024-01-31 03:34
常见漏洞
安全漏洞
安全
web
漏洞
挖掘账号注册流程
漏洞
挖掘账号注册流程提交
漏洞
的平台有很多,以下是一些常见的平台:1.HackerOne:全球最大的
漏洞
赏金平台,有很多大型公司和组织参与,提供了丰厚的奖金和奖励。
人生的方向随自己而走
·
2024-01-31 02:19
笔记
安全
上海网信部门处罚一批未尽个人信息保护义务单位
以下部分新闻原文:1.5亿条会员个人信息未加密处理存在泄露风险、企业内部数据访问权限设置不合规导致用户信息可能被“一锅端”、存储个人信息的网络系统存在可能被入侵攻击的高危
漏洞
......近期,上海市网信办在
SafePloy安策
·
2024-01-31 02:10
数据库开发
某赛通电子文档安全管理系统 PolicyAjax SQL注入
漏洞
复现
0x01产品简介某赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机
OidBoy_G
·
2024-01-31 01:49
漏洞复现
安全
web安全
华天动力OA ntkodownload.jsp 任意文件读取
漏洞
复现
0x02
漏洞
概述华天动力OAntkodownload.jsp接口处存在任意文件读取
漏洞
,未经身份认证的攻击者可利用此
漏洞
获取服务器内部敏感文件,使系统处于极不安全的状态。
OidBoy_G
·
2024-01-31 01:49
漏洞复现
安全
web安全
上一页
33
34
35
36
37
38
39
40
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他