SUSTF-WriteUp
Webfxxkcors下载题目附件,不难看出 report 页面拥有 admin 权限而且会访问你提交的页面。看 challenge注册之后发现存在修改权限功能查看源码发现会像 change...
【最新漏洞预警】CVE-2022-0513 全球600w+量级插件WP Statistics SQL注入漏洞不完整分析之旅
漏洞信息WP Statistics 是一个非常强大的统计分析插件,通过这个插件用户可以比较详细地了解到访问网站的运行信息,比如访问量、来源、阅读量等。该插件13.1....
CVE-2022-21350 WebLogic T3 RCE 简单分析
简介 Oracle Fusion Middleware(组件:Core)的 Oracle WebLogic Server 产品中的漏洞。易于利用的漏洞允许未经身份验证的攻击者通过 T3 访问网络来破坏 Ora...
浅谈微信小程序渗透
0x0前言 最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 0x1环境准备 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使...
APP简单逆向到getshell
前言 某APP渗透测试,主页就一个登录框,登录框认证调用的公司门户站的SSO单点登录,再加上长亭的waf,几乎牢不可破,常规手法都有尝试,没有什么突破点。 脱...
Fortinet Fortimail 7.0.1 – XSS
FortiMail 中的网页生成漏洞(“跨站点脚本”)[CWE-79] 期间输入的不当无效化可能允许未经身份验证的攻击者...
实战|记一次艰难的SQL注入(过安全狗)
1.1 前言最近在挖补天的src,然后挖出了不少SQL注入,完了出了数据库名就不管那么多提交了。今天挖了个报错注入的,突然一激灵,说我不能这样颓废下去了,刚...
DICOS:在Stack Overflow社区不安全代码发现方法
笔记作者:Norns@SecQuan笔记小编:ourren@SecQuan原文标题:Disco: Discovering Insecure Code Snippets from Stack Overflow Posts by Leveraging User Dis...
游戏黑灰产识别和溯源取证
游戏中的黑灰产一般来说,黑色产业指的是从事具有违法性的活动且以此来牟取利润的产业。而灰色产业则指的是不明显触犯法律和违背道德,游走于法律和道德边缘...
车联网安全基础知识之QNX命令
QNX 是加拿大 RIM 公司旗下,采用微内核的类Unix实时操作系统。其以安全性和实时性著称,主要是面向嵌入式系统。QNX 在汽车领域市场占有量较大,大多数汽车制...