Web Security 第21頁

今天來跟小夥伴們探討一個有趣的問題，看答案前可以先好好思考下這個問題。 1.可以執行XSS的代碼： <svg><script>alert&#40;1)</script> 2.不可以執行XSS的代碼...

讚(0)波波2018-04-21閱讀(1406)

Python反序列化,前些時間看了看python pickle的源碼，研究了一下一些利用方式，這裡總結分享一下反序列化漏洞的一些利用方式。漏洞原理就不再贅述了，可以看看關於Python sec(上一篇)的簡單總結這篇文章。 原文出處：htt...

讚(0)波波2018-04-19閱讀(1341)

Python沙箱逃逸,說到python沙箱逃逸，一般來說就是給個交互式的python shell或是web裡面常見的SSTI。 通常如果能夠執行代碼的話，我們一般採用以下的方法： 1、使用常見的命令執行模塊或是文件讀寫模塊 2、使用寫文件到...

讚(0)波波2018-04-18閱讀(2375)

這篇沒技術含量，只是想分享一下網路上免費的免殺木馬、過狗Webshell別亂用，天下沒有白吃的午餐，透過簡單的分析，查找出藏在Webshell的後門。 原文出處：http://www.watscan.com/index.php?c=wxde...

讚(0)波波2018-04-15閱讀(1706)

今天分享一篇 Spring Data Commons Remote Code Execution 分析-【CVE-2018-1273】 原文出處：https://xz.aliyun.com/t/2269 －－－－－－－－－－－－－－－－－－...

讚(0)波波2018-04-13閱讀(1328)去評論

PHP反序列化漏洞雖然利用的條件比較苛刻，但是如果可以利用一般都會產生很嚴重的後果。 要了解PHP反序列化漏洞，應該從這幾方面： 什麼是反序列化 為什麼會產生這個漏洞 在編程的過程中，什麼時候會用到序列化這個概念 實例分析 原文出處：htt...

讚(0)波波2018-04-12閱讀(1970)去評論

今天分享一篇QR Code登入的常見缺陷剖析。 現在很多的電商平台和企業網站都有自己的手機APP，為了方便用戶的體驗，於是就有了"掃碼登入"這樣的功能。看似掃碼登入，實際上還是基於HTTP請求來完成的，但背後可能會存在什麼樣的安全性問題呢？...

讚(0)波波2018-04-10閱讀(1697)

今天分享一篇ESI（Edge Side Include ）注入技術翻譯文章，ESI 主要在常見的HTTP代理（反向代理、負載均衡、緩存服務器、代理服務器）中使用。通過ESI注入技術可以導致服務端請求偽造（SSRF），繞過HTTPOnly c...

讚(0)波波2018-04-09閱讀(1419)

今天分享一篇連續使用過濾函數會造成的安全問題， 由於開發人員對函數的用法缺乏深刻的理解，或者想當然地認為多個過濾函數能夠有很好地過濾效果，卻沒有意識到多個過濾函數的組合使用恰好有可能存在漏洞。 本文也只是簡單地總結了一下這種情況，而漏洞實例...

讚(0)波波2018-04-08閱讀(1687)

今天分享一篇 JNDI Injection CVE-2018-1000130，不知道JNDI的同學們可以參考下Black Hat這篇簡報 https://www.blackhat.com/…/us-16-Munoz-A-Journey-Fr...

讚(0)波波2018-04-07閱讀(1444)