从一道CTF浅尝V8源码
目录1.GoogleCTF 2018 - Pwn Just-In-Time2.调试环境环境搭建3.题目漏洞分析4.从失败的POC读V85.Exploit参考正文作为刚接触浏览器安全的初学者,我个人选择了...
Kubernetes 1.24的删除和弃用
作者:Mickey Boxell(Oracle)随着 Kubernetes 的发展,特性和 API 会定期给重新访问和删除。新的特性可能会提供一种替代的或改进的方法,来解决现有的问题...
【权限维持】使用 HTTP Server API 实现 IIS 服务器端口复用
一台服务器是如何支持多个域名和站点的?从查询到的资料来看,主要以下几点:•Nginx:通过 Nginx 区分主机头,从而决定请求访问到哪个应用;•IIS:通过&...
ReDos与preg_match某些场景下的绕过
前几天帮A同学看了一段PHP代码,发现了其中一个可被绕过的点,问题点代码大概是:这段代码似曾相识,它的作用主要是通过正则表达式('<?'之后不能再有`;?&...
雪虐风饕:疑似Lazarus组织针对韩国企业的攻击活动分析
概述一直以来,鱼叉式钓鱼攻击都是进入企业网络最便捷的方式之一。鱼叉式钓鱼攻击常用于针对大型企业、银行或有影响力的人群,最常见的目标是有权调用丰富信...
CVE-2022-28281: Mozilla Firefox Out of bounds write due to unexpected WebAuthN Extensions
This is a bug that can be triggered from a compromised Windows Firefox renderer process. If a compromised content process sent an unexpected number...
每日安全动态推送(04-11)
Tencent Security Xuanwu Lab Daily News• airtag/woot22-paper.pdf:https://github.com/seemoo-lab/airtag/blob/main/woot22-paper.pdf &nb...
iframe 與 window.open 黑魔法
如果你想要在網頁上產生一個新的 window,大概就只有兩個選擇,一個是利用 、 與 這些標籤將資源嵌入在同個頁面上,而另一個選擇則是使用 新開一個視窗。ifra...
APC注入以及几种实现方式
前言:本文以最新版360作为测试,如果有错漏之处,还请师傅们指正。 APC介绍 APC中文名称为异步过程调用, APC是一个链状的数据结构,可以让一个线程在其本应...
利用通信协议反向监控 C&C 服务器
工作来源CCS 2021工作背景在以往的僵尸网络清除行动中,政府首先监控 C&C 服务器证明恶意软件造成社会损失,随后获取法律许可进行定点清除。例如 2020 年...