参考文章 浅析HTTP走私攻击 SeeBug-协议层的攻击——HTTP请求走私 HTTP 走私漏洞分析 简单介绍 攻击者通过构造特殊结构的请求,干扰网站服务器对请求的处理,从而实现攻击目标 前提知识 注:以下文章中的前端指的是(代理服务器、CDN等) Persistent Connection:持久 ...
分类:
Web程序 时间:
2020-06-20 00:37:21
阅读次数:
71
CVE-2016-4437 Apache Shiro 1.2.4反序列化漏洞复现 什么是Apache Shiro: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程 ...
分类:
Web程序 时间:
2020-06-19 15:58:20
阅读次数:
229
靶场地址https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4918&page=2 根据题目了解登录或者注册存在漏洞 注册账号并且登录 反馈“普通用户登录成功,没什么用” 猜测可能需要管理员登录 经过测试忘记密码页 ...
分类:
其他好文 时间:
2020-06-19 13:56:13
阅读次数:
90
XSS(跨站脚本)概述 ** Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:** ** 1.反射性XSS;** ** 2.存储型XSS;** ** 3.DOM型XSS;** ** XSS漏洞一 ...
分类:
其他好文 时间:
2020-06-18 19:07:39
阅读次数:
76
CVE-2020-5405 Spring Cloud Config 目录穿越漏洞分析 CVE-2020-5405 分析 先放 本地 poc: GET /1/1/(_)..(_)..(_)c:/Temp/1.txt HTTP/1.1 Host: 127.0.0.1:8888 User-Agent: M ...
分类:
编程语言 时间:
2020-06-18 19:04:59
阅读次数:
132
Metasploit是一款开源安全漏洞检测工具,附带数百个已知的软件漏洞,并保持频繁更新。被安全社区冠以“可以黑掉整个宇宙”之名的强大***测试框架。命令行下使用Metasploit运行后首先看到的是Metasploit欢迎界面,我们输入“?”得到在线帮助。左面显示的是溢出程序的程序名称,右面是相应的简介。可以看到Metasploit中带的溢出程序包还是很多的,完全可以满足我们日常***的需要,以后我
分类:
Web程序 时间:
2020-06-18 16:23:54
阅读次数:
74
一、背景Golang开发者非常关心开发应用的安全性。随着GoModule应用越来越广泛,Golang开发者需要更多的方式来确保这些公共共享文件的安全。Golang1.13版本在创建GoModule时,通过增加go.sum文件来验证之后从GOPROXY再次访问到的该Module是否曾被篡改。这个机制有助于保证Module的完整性。但是,当初次创建并提交GoModule时,如果原始文件中被引入了恶意代
分类:
其他好文 时间:
2020-06-17 01:14:07
阅读次数:
60
