简介 当调用外部的合约时,外部合约会接管控制流程,从而可能给自己的数据带来意想不到的修改。2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币。正是由于此陷阱。 原因 调用外部合约,fallback回调函数被多次执行。 复现 很多都是老语法的address.call( ...
分类:
其他好文 时间:
2021-05-24 04:46:13
阅读次数:
0
Joomla 3.4.5 反序列化漏洞(CVE-2015-8562) 本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数 ...
分类:
其他好文 时间:
2021-05-24 04:14:30
阅读次数:
0
将符号执行应用于任意真实程序很难,你通常必须对执行环境建模,并找到有效的方法来应对不确定性和路径爆炸。动态符号执行的想法是在任何输入上执行一个软件,同时探索所有可能的执行路径,而无需指定具体值。 具体示例如下,其中输入x未知,即符号: 符号执行在所有三个执行路径(x < 0, x > 100, 0 ...
分类:
其他好文 时间:
2021-05-24 04:01:05
阅读次数:
0
MSF应用基础 实践目标 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。 实践内容 一个主动攻击实践,尽量使用最新的类似漏洞; 一个针对浏览器的攻击,尽量使用最新的类似漏洞; 一个针对客户端的攻击,如Adobe或office,尽量使用最新的类似漏洞; 成功实现应用 ...
分类:
其他好文 时间:
2021-05-24 03:52:25
阅读次数:
0
xss -- 跨站脚本攻击 防御XSS攻击:(1)输入过滤替换(2)输出过滤替换(3)设置httpOnly 锁死 cookie csrf -- 跨站请求伪造 防御CSRF攻击:(1)验证 HTTP Referer 字段(2)在请求地址中添加 token 并验证(3)在 HTTP 头中自定义属性并验证 ...
分类:
其他好文 时间:
2021-05-24 03:21:37
阅读次数:
0
漏洞背景 2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重 影响范围 Apache Solr < 8.2.0 利用工具 burpsuite 漏洞原因 Apache solr 是一款开源的搜索服务器并且使用java语言开发; 主要的工作方式:用 ...
分类:
Web程序 时间:
2021-05-24 03:07:51
阅读次数:
0
【一】背景 最近有关于漏洞内容的一些工作。 在查找资料的时候查到了这一月一直在找的关键词-优先级。 【二】相关链接 阿里云这个文档不错,先留一下。 https://help.aliyun.com/document_detail/84888.html 【三】 老规矩,先记录一下,放着。等我这阵子事都解 ...
分类:
其他好文 时间:
2021-05-24 01:49:51
阅读次数:
0
20182213 Exp6 MSF应用基础 #1. 实验内容 ##1.1&1.4一个主动攻击实践,尽量使用最新的类似漏洞; (利用辅助模块) ###攻击方式:CVE-2019-0708 ###靶机:Microsoft Windows win7 x64 SP1 profession ####1.1.1 ...
分类:
其他好文 时间:
2021-05-24 00:18:17
阅读次数:
0
在androidmanifest.xml文件中 则存在allowbackup漏洞 该漏洞是怎么利用的呢,或者说危害在哪里呢? 借用一下大佬的例子:https://blog.csdn.net/zihao2012/article/details/44220389 某IT男一直暗恋部门某女神,一天女神手机 ...
分类:
其他好文 时间:
2021-05-04 16:10:27
阅读次数:
0
1.XMLDecoder 反序列化漏洞 cve-2017-10271/3506 影响版本10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2 受影响url ,在这个配置里面: C:\Oracle\Middleware\user_projects\doma ...
分类:
Web程序 时间:
2021-05-03 12:59:59
阅读次数:
0
