Go代碼審計 - gitea 遠程命令執行漏洞鏈
原文出處:https://www.leavesongs.com/PENETRATION/gitea-remote-command-execution.html Git LFS是Git為大文件設置的存儲容器,我們可以理解為,他將真正的文件存儲...
Web Security 第16頁
波波
簡單說說MySQL Prepared Statement
原文出處:https://c0d3p1ut0s.github.io/%E7%AE%80%E5%8D%95%E8%AF%B4%E8%AF%B4MySQL-Prepared-Statement/ SQL注入的修復建議或者防禦措施無非是兩條:一是...
Neatly bypassing CSP
原文出處:https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa Content Security Policy ...
滲透測試工程師面試題大全
原文出處:backlion 非常完整的資安面試題,總共164題,對於即將就業或想要從事資安領域的朋友們可以好好看一下,看看哪些題目答得出來,哪些不會。有些題目沒有標準答案,參考一下。 下載連結:https://drive.google.co...
PHP使用流包裝器實現WebShell
原文出處:http://www.freebuf.com/articles/web/176571.html 在Web安全領域WebShell的構造與查殺是永不停息的話題,這幾天發現了一種新型方式生成WebShell,隱蔽度高,目前安全查殺軟件...
Denial of Service with Cookie Bomb
原文出處:https://blog.innerht.ml/tag/cookie-bomb/ Cookie Bomb is a term introduced by Egor Homakov. The attack itself is not...
任意用戶密碼重置系列(一)~(七)
原文出處:http://www.freebuf.com/articles/web/176211.html 在邏輯漏洞中,任意用戶密碼重置最為常見,可能出現在新用戶註冊頁面,也可能是用戶登錄後重置密碼的頁面,或者用戶忘記密碼時的密碼找回頁面,...
服務端模板注入攻擊 (SSTI) 之淺析
原文出處:http://blog.knownsec.com/2015/11/server-side-template-injection-attack-analysis/ 在2015年的黑帽大會上 James Kettle 講解了《Serv...
Google CTF 2018 Quals Web Challenge - gCalc
原文出處:http://blog.orange.tw/2018/06/google-ctf-2018-quals-web-gcalc.html 上禮拜結束的Google CTF,Orange發表了一篇關於gcalc題目的writeup,題目...
SSRF攻擊文檔翻譯
原文出處:https://evilwing.me/2018/07/01/ssrf%E6%94%BB%E5%87%BB-%E8%AF%91%E6%96%87/#menu 本文向您介紹伺服器端請求偽造(SSRF)的概念,它是客戶端請求偽造(CS...