SSTI漏洞

web渗透--14--目录遍历/文件包含测试

1、漏洞描述文件包含是指程序代码在处理包含文件的时候没有严格控制。
武天旭·2025-03-14 18:32

2025年渗透测试面试题总结-安恒 (题目+回答)

5.宽字节原理6.Python是否存在反序列化漏洞?7.GET与POST传参的区别8.HTTP请求方式9.如何判断C
独行soc·2025-03-14 17:30

今天项目中出现了一个xss漏洞

代码是这样的:xxxx.com/en/index?siteId=">alert(document.cookie)smartyget没做过滤的,有点坑
hello_simon·2025-03-14 17:59

2025版最新如何参加护网行动?零基础入门到精通,收藏这篇就够了!

具体实践中,公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。
程序媛西米·2025-03-14 17:28

24.pocsuite3:开源的远程漏洞测试框架

一、项目介绍pocsuite3是一款由Knownsec404Team开发的开源远程漏洞测试框架,专注于快速验证和利用已知漏洞
白帽少女安琪拉·2025-03-14 17:26

2025移动端软件供应链安全开源治理方案最佳实践

2025年3月13日,由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开。
数字供应链安全产品选型·2025-03-14 10:33

攻防世界Web_php_unserialize(writeup)

题目题目:Web_php_unserialize题号:NO.GFSJ0710解题思路:浅看代码,这题需要我们以GET的方式提交一个变量var去利用php反序列化漏洞攻击,但题目设置了对序列化对象字符串的过滤以及对非
金昔往矣·2025-03-14 07:14

Spring Boot Tomcat 漏洞修复

SpringBootTomcat漏洞修复ApacheTomcat远程代码执行漏洞(CVE-2025-24813)Tomcat是一个开源的、轻量级的Web应用服务器和Servlet容器。
高建伟-joe·2025-03-14 06:37

Pwn,我的栈溢出笔记就该这么写(上)

栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。如何防范栈溢出?(1).金丝雀(canary)1、在所有函数调用发生时,向栈帧内压入一个额外的随机DWORD(数),这个
「已注销」·2025-03-14 05:54

TDE透明加密:免改造实现SQLServer数据库安全存储

然而,勒索软件攻击、内部泄密、备份泄露等威胁频发,仅2024年全球因数据库安全漏洞造成的损失已超320亿美元。
安 当 加 密·2025-03-14 03:42

22. dirmap:高级 Web 目录与文件扫描工具

其通过多线程、递归扫描和智能过滤机制,显著提升扫描效率与准确性,适用于红队渗透、漏洞挖掘及资产测绘等场景。1.1.1核心功能多线程扫描:默认50线程,可自定义调整以平衡性能与隐蔽性。
白帽少女安琪拉·2025-03-13 18:13

ida调试linux程序,MAC使用IDA PRO远程调试LINUX程序

1背景在学习Linux系统上的一些漏洞知识的时候,往往需要进行“实地测试”,但是在Linux系统上进行调试并不太方便,因为LINUX自带的GDB调试工具真的不太人性化,即使有GDBTUI之类的“伪图形界面调试器
O超哥·2025-03-13 15:52

附原文 |《2024年漏洞与威胁趋势报告》深度解读

安全极客社区精心译制的《2024年漏洞与威胁趋势报告》明确指出,2023年堪称网络安全领域的重要分水岭。
·2025-03-13 15:17

零基础转行学网络安全怎么样?能找到什么样的工作?

零基础转行学习网络安全是完全可行的,但需要明确的是,网络安全是一个既广泛又深入的领域,包含了网络协议、系统安全、应用安全、密码学、渗透测试、漏洞挖掘、安全编程、安全运维等多个方面。。
网络安全苏柒·2025-03-13 13:06

接口测试中常见的问题有哪些?

请求参数问题必填字段缺失参数数据类型错误边界值或超限值问题参数组合错误二、响应结果问题HTTP状态码错误数据结构不符合预期业务逻辑错误数据一致性错误三、异常场景处理不足未处理异常输入未处理超时或服务不可用重复请求问题四、安全相关问题鉴权缺失或漏洞敏感数据未加密越权访问五
Feng.Lee·2025-03-13 11:26

漏洞复现】用友NC-accept-任意文件上传

目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞复现0x05Nuclei0x01产品简介用友NC是北京用友软件股份有限公司(简称“用友”)开发的一款企业管理软件,支持财务会计、人力资源、
.Rain.·2025-03-13 05:39

VulnHub靶机系列:Os-ByteSec

一前言Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。
墨痕诉清风·2025-03-13 05:32

ssl和tsl的区别及如何使用

下面是它们之间的主要区别以及如何使用它们:区别:SSL是最早用于加密网络通信的协议,随着安全漏洞的暴露,逐渐被TLS所取代。TLS提供了更强大的加密算法和更严格的安全性要求,相比SSL更安全可靠。
噔噔噔噔@·2025-03-13 04:58

红队OPSEC(安全运营)个人总结

OPSEC漏洞的五个流程:关键信息识别:指红队的关键信息不泄露,包括但不限于红队的攻击意图,能力,人员,活动及限制等。
安全检测中·2025-03-13 03:48

JavaScript泄露浏览器插件信息引发的安全漏洞及防护措施

本文所述技术原理、漏洞案例及防御方案仅用于安全研究交流,旨在提升网络安全防护意识。任何试图利用文中提及的技术手段进行非法攻击的行为,均与作者/发布方无关。
w2361734601·2025-03-13 01:38

vLLM 部署大语言模型的系统选择策略

需确保系统与NVIDIA驱动和CUDA工具链的兼容性软件源时效性⭐⭐⭐⭐系统需提供较新的Python、PyTorch等AI框架版本,避免依赖冲突长期支持(LTS)⭐⭐⭐⭐生产环境需规避因系统版本过期导致的安全漏洞和兼容性问题社区生态
由数入道·2025-03-12 22:15

iOS安全和逆向系列教程 第7篇:iOS应用静态分析实战

这是逆向工程过程中必不可少的一步,能够帮助我们发现应用的核心逻辑、安全机制和潜在漏洞。静态分析的意义与目标在开
自学不成才·2025-03-12 22:45

每周一个网络安全相关工具——MetaSpLoit

一、Metasploit简介Metasploit(MSF)是一款开源渗透测试框架,集成了漏洞利用、Payload生成、后渗透模块等功能,支持多种操作系统和硬件平台。
w2361734601·2025-03-12 18:17

《Linux 运维网络安全:全民关注时代,你该如何行动?》

尤其是在Linux运维领域,一旦安全防线出现漏洞,后果不堪设想。你是否想过,为何有些企业的Linux服务器能在复杂网络环境中“稳如泰山”,而有些却频繁遭受攻击,数据泄露风险剧增?
TechStack 创行者·2025-03-12 16:37

应急响应——勒索病毒风险处置

这种病毒主要以邮件、程序木马、网页挂马的形式进行传播,并利用各种加密算法对文件进行加密,使得被感染者一般无法解密,必须拿到解密的私钥才有可能破解勒索病毒发作的特征传播方式:勒索病毒主要通过三种途径传播,包括漏洞
ad_m1n·2025-03-12 09:49

VMware ESX曝3个0Day漏洞,已被黑客利用

Broadcom公司近日修复了VMwareESX产品中的三个0Day漏洞,这些漏洞已被恶意利用。漏洞概述Broadcom发布了安全更新,以修复VMwareESX产品中的三个0Day漏洞
FreeBuf-·2025-03-12 09:47

全球近5W个访问管理系统存在严重安全漏洞

荷兰IT安全咨询公司Modat发现,全球范围内部署的约49,000个访问管理系统(AMS)存在严重的安全漏洞
FreeBuf-·2025-03-12 09:47

[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例

文章目录一.工具&术语1.网安术语2.常用工具3.推荐文章二.常见攻击1.SQL注入2.XSS跨站3.越权漏洞4.CSRF跨站请求伪造5.支付漏洞三.音乐异或解密示
鱼馬·2025-03-12 07:01

第一篇:CTF入门指南:了解CTF的基本概念与比赛形式

CTF题目通常涵盖密码学、逆向工程、漏洞利用、Web安全等多个领域。本系列文章将从零基础开始,逐步带你了解CTF的各个知识点,最终帮助你成为一名CTF大佬。##文章目录1.
菜腿承希·2025-03-12 06:28

编程与脚本基础:网络安全的核心工具

无论是自动化任务、开发安全工具,还是进行漏洞分析,编程和脚本都是网络安全从业者不可或缺的技能。本文将从编程基础入手,逐步引导你掌握网络安全中常用的编程语言和脚本技术。---####1.
菜腿承希·2025-03-12 06:58

第二篇:CTF常见题型解析:密码学、逆向工程、漏洞利用、Web安全

#零基础小白入门CTF解题到成为CTF大佬系列文章##第二篇:CTF常见题型解析:密码学、逆向工程、漏洞利用、Web安全###引言在CTF比赛中,题目类型多种多样,涵盖了网络安全领域的多个方向。
菜腿承希·2025-03-12 05:21

SQL注入从入门到入狱:万字长文带你领略手工注入的魅力

相比自动化工具,手工注入不仅能帮助我们深入理解漏洞原理,还能在特定场景下突破工具的局限。本文将从基础SQL函数入手,逐步探讨报错注入、联合注入、布尔盲注和时间盲注等多种手工注入技术。
vortex5·2025-03-12 03:02

field.setAccessible(true);代码扫描有安全漏洞,解决方案

AccessibleObject类是Field、Method和Constructor对象的基类,能够允许反射对象修改访问权限修饰符,绕过由Java访问修饰符提供的访问控制检查。它让程序员能够更改私有字段或调用私有方法,这在通常情况下是不允许的。例如:以下代码片段中,将Field将accessible标记设置为true。Classclazz=User.class;Fieldfield=clazz.g
码叔义·2025-03-12 00:28

最新整理的50个网络安全必知术语,想要入行网安,建议收藏!

想象一下,你刚入行网络安全(Cybersecurity),兴冲冲地打开一本专业书,或者加入一个网安论坛,结果满屏的“漏洞”“威胁”“DDoS”“加密”……脑袋瞬间一片迷雾。
wljslmz·2025-03-11 19:25

Shodan的概述与安装

这使得Shodan能够快速搜索到网络中的各种设备和服务,例如Web服务器、路由器、摄像头、物联网设备等,甚至包括某些已知漏洞的暴露设备。
耶耶Norsea·2025-03-11 17:40

如何编写POC/EXP

文章目录前言一、漏洞验证方式二、POC是什么?
藤原千花的败北·2025-03-11 13:36

什么是XSS

文章目录前言1.前端知识2.什么是XSS3.漏洞挖掘4.参考前言之前对XSS的理解就是停留在弹窗,认为XSS这种漏洞真的是漏洞吗?安全学习了蛮久了,也应该对XSS有更进一步的认识了。
藤原千花的败北·2025-03-11 13:36

Linux 提权

文章目录前言1.内核漏洞提权脏牛(CVE-2016-5195)2.不安全的系统配置项2.1SUID/SGID提权2.2sudo提权2.3定时任务提权2.4capabilities提权3.第三方软件提权TomcatmanagerNginx
藤原千花的败北·2025-03-11 12:27

七个合法学习黑客技术的平台,让你从萌新成为大佬

网站涵盖多种主题,包括密码破解、网络侦察、漏洞利用、社会工程学等。
黑客白帽子黑爷·2025-03-11 10:13

PHP 过滤器

在PHP开发中,正确地使用过滤器可以显著减少安全漏洞,提高应用程序的可靠性。
wjs2024·2025-03-11 10:12

2025年渗透测试面试题总结-长某亭科技-安全服务工程师(一面)(题目+回答)

目录长某亭科技-安全服务工程师(一面)1.SQL注入原理与代码层面成因原理代码层面成因漏洞触发场景2.XSS漏洞原理(代码层面)原理代码层面成因漏洞触发场景3.OWASPTop10漏洞(2023版)4.
独行soc·2025-03-11 05:04

【技术干货】三大常见网络攻击类型详解:DDoS/XSS/中间人攻击,原理、危害及防御方案

协议型攻击:如SYN洪水攻击,利用TCP三次握手漏洞
挣扎与觉醒中的技术人·2025-03-11 05:01

AI 赋能软件开发:从工具到思维的全面升级

www.captainbed.cn/ccc一、AI如何改变软件开发1.1开发效率的提升代码生成:AI工具如GitHubCopilot可以自动生成代码片段,减少重复劳动错误检测:AI能够实时识别代码中的潜在错误和漏洞性能优化
二川bro·2025-03-11 01:02

1433抓鸡工具_1433抓鸡工具在软件安全测试中的重要性及应用

一、1433抓鸡工具概述1433抓鸡工具,通常指的是一类网络安全测试工具,用于检测网络系统中的潜在漏洞。这类工具能够模拟黑客的攻击行为,帮助安全专家发现系统可能存在
网络安全(king)·2025-03-11 00:20

学习数据结构是学完一章立马做题吗?

发现问题:通过做题可以及时发现理解上的漏洞或误区,便于立即纠正。提高效率:趁热打铁,避免拖延,学习效果更好。适合人群:记忆力较强,能够快速吸收新知识的
AredRabbit·2025-03-10 23:13

Python 入

本文将介绍如何利用Python来入侵交换机,并对其进行漏洞扫描和安全检测。1.Python入侵交换机原理Python作为一种强大的编程语言,可以用来编写各种网络安全工具。
黑客KKKing·2025-03-10 22:09

网络安全中蓝牙攻击有哪些?

蓝牙攻击是指黑客或攻击利用蓝牙技术中的漏洞或弱点,通过各种手段未经授权地获取或干扰目标设备的信息、功能或控制权的行为。蓝牙攻击可以采取多种形式,包括但不限于以下几种:1、蓝牙监听:攻击者通过监听蓝
Hacker_Nightrain·2025-03-10 22:08

网络入侵的几种常用方法

我认为这是一套适合初学者由浅到深的文章,所以强烈推荐给大家,作者从基础讲到最近比较火的漏洞,可能有些人看来是浅了些,但是的确很适合想干点啥但又不知道怎么办的菜鸟们。第一节,伸展运动。
遇见火星·2025-03-10 18:41

Web常见漏洞描述及修复建议详解--纯干货

1.SQL注入漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell
努力 现在开始·2025-03-10 13:05

漏洞挖掘还能做副业

一、网络安全的重要性:从‘不学会被黑’到‘学会保护别人’网络安全的概念现在不再是技术圈的独立话题,它已经渗透到社会的各个领域。从个人的隐私保护、企业的数据安全,到国家的信息防护,网络安全几乎影响了每一个人的生活。无论是黑客攻击、勒索病毒、数据泄露,还是国家间的信息战,网络安全已经成为现代社会的基础设施之一。所以,首先要明白学习网络安全的重要性:你不仅是在学习技术,更多的是在为自己和他人的安全“筑城
黑客老哥·2025-03-10 11:20
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他