渗透技巧
某钱包转账付款算法分析篇
本文为看雪论坛优秀文章看雪论坛作者ID:kzzll1抓包具体如何抓包就不在陈述,抓包我们会发现qpay_unified_config.cgi、qpay_balance.cgi等接口,但它的POST以...
每日安全动态推送(12-21)
Tencent Security Xuanwu Lab Daily News• README.rst:https://github.com/terryyin/lizard ・ Lizard - 代码复杂度分析工具&nbs...
国外网络演习思考
网络演习在最近几年被越来越多的单位重视,网络演习可以真正验证安全的水平,在攻防的真实对抗中,可以发现安全问题,提高安全建设和运营水平。同时,网络演...
【白帽故事】通过Host header注入获取$800赏金奖励
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及...
每日安全动态推送(12-20)
Tencent Security Xuanwu Lab Daily News• CVE-2021-45105: Denial of Service via Uncontrolled Recursion in Log4j StrSubstitutor:https://www.zerod...
代码审计 | Zoho 从未授权访问到远程 RCE
本文作者:Z1NG(信安之路核心成员,擅长代码审计、红队技术)ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于 ITIL 架构的 IT ...
ThinkPHP5.0.0-5.0.18 RCE另类利用姿势
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利...
不同领域功能安全软件开发模型对比
在功能安全系统开发中,开发生命周期依据系统工程V模型,分为系统级、硬件级和软件级,将开发生命周期划分为多个阶段,每个阶段包括输入,过程要求、输出、使...
OOD漏洞、Log4j2漏洞的预防探讨及其事件思考,MyLoBot僵尸网络病毒如何快速有效的定位真实受害IP?| 总第125周
0x1 本周话题TOP3话题1:为什么OOD漏洞就一定修不完呢?是说只要有动态转换,就一定有各种编码来绕过各种各样的限制手段吗?A1:ODD强调的是开放动态,还不只...
FastJson_RCE不出网利用研究
1.研究环境 java版本: java version '1.8.0_131'Java(TM) SE Runtime Environment (build 1.8.0_131-b11)Java HotSpot(TM) 64-Bit Server VM (b...