litqq
我如何找到了Facebook广告服务的信息泄漏漏洞(奖金高达10000美刀)
Facebook提供了一个GraphQL节点,管理员可以通过该节点查看用户的广告点击日志。这些广告指的是在Facebook和Instagram上展示的广告,可以是赞助商广告,或侧边栏上显示的常规广告,可以根据不同...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 916 )
某P2P系统对象自动绑定漏洞可任意充值
许多框架(例如Spring MCV)都支持对象自动绑定,这允许HTTP请求参数自动绑定到对象。但是,攻击者可以添加其他HTTP请求参数,如果开发人员在处理业务逻辑时缺少安全检查,则会导致相应的安全问...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 876 )
web安全之如何全面发现系统后台
前言所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 886 )
真假应用傻傻分不清,HideIcon病毒玩起“隐身计”
伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数…… 近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 975 )
Thinkphp5X设计缺陷导致泄漏数据库账户密码
0x00 框架运行环境 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 1155 )
ThinkPHP5 SQL注入漏洞 && PDO真/伪预处理分析
刚才先知分享了一个漏洞( Thinkphp5.X设计缺陷导致泄漏数据库账户密码),文中说到这是一个信息泄露漏洞,但经过我的分析,除了泄露信息以外,这里其实是一个(鸡肋)SQL注入漏洞,似乎是一个不允许…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 885 )
安全隐患,你对X-XSS-Protection头部字段理解可能有误
0×00。简介 我做了一项调查,看看X-XSS-Protection领域的哪一项设置最差。调查结果非常令人惊讶,所以我有这篇文章。 网民们认为最糟糕的配置是X-XSS-Protection: 0,其次是X-XSS-Protection: 1...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 1016 )
平安集团·安全平台部招聘-高级安全系统运营工程师
工作职责1.负责自研安全系统的部署与发布、架构评审、系统监控,故障处理。2.负责elk、kafka、flink等常见开源产品的研究与运营3.负责日志的收集、处理、分析工作岗位要求1.本科及以上学历,3…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 893 )
平安集团·信息安全运营中心招聘-SOC监控工程师
工作职责负责中国平安集团的信息安全事件监控和响应工作,对检测到的异常,能够根据异常的类型、严重程度,遵照事件处理流程,进行初步处理或协调跟进后线人员进行处理;岗位要求1.计算机、通信工程或相关专业本科…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 819 )
语音邮件故意破坏:在MICROSOFT EXCHANGE SERVER上执行远程执行代码
“非特权Exchange用户可以通过.NET BinaryFormatter反序列化漏洞在Exchange Server中以”NT AUTHORITY \ SYSTEM“运行任意代码。”它着实引起了我…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 838 )
e 安在线说等保 | 定级与备案了解多少,才能放心迈出等级保护工作的第一步
各位看官周五好,今天是七夕,在这里e小安祝大家有情人终成眷属~~网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统定级工作应该按照“用户…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 862 )
海外 | 2018年漏洞披露数量远远超过往年
根据Risk Based Security的最新报告,今年迄今披露的10,644个漏洞中,有近17%的是重大漏洞。对于那些希望通过补丁修补来避免系统缺陷的组织来说,这并不是个好消息。今天发布的Risk…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 740 )
批量弱密码检查破解,完美支持SSH/FTP/MySQL/Oracle/SQLSer热等级
超弱密码检查器 简介: 该工具是用C#开发的。该工具目前支持SSH,FTP,MySQL,SQLServer,Oracle,MongoDB,PostgreSQL,POP3,SMTP,IMAP,Memcached,Redis,Telnet等服务的批量破解弱密码。...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 874 )
银石自动Disucz论坛扫描号码爆破用户密码工具1.21升级版定制爆破词典!
这个程序是由.NET框架编写的,XP需要安装.NET 1.Gid过滤用逗号(,)分隔 2.用户名文件由回车符分隔 3.如果从文件导入的用户名是乱码,请在用户名获取中将编码模式转换为另一个(UTF8orGBK)。...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 852 )
IDA F5 在 CTF逆向中的坑
在CTF逆向中有部分题目,只需要静态分析就可以得到答案。出题者为了增加难度,会利用IDA F5的bug,致使生成伪代码时出错,从而降低分析效率。现以上次比赛的cracking_game为例,讲解如何绕…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 782 )
Ridrelay:一种在Intranet上快速查找域用户名的工具
今天推出了一个名为Ridrlay的工具(@ skorov8),研究人员可以使用该工具枚举内部网络上的域用户名信息,只具有低级权限。 RidRelay操作机制 RidRelay集成了SMB Relay攻击技术。常见的lsarpc查...
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 831 )
网鼎杯网络安全大赛部分Writeup第一场
一、 Misc1. 题目:签到解答:(1) 提示让关注公众号,关注后在公众号里边输入“青龙之站”之后如下图所示;(2) 回复1f5f2e进入下一关,如下图所示;…
- 0
- 0
- litqq
- 发布于 2020-12-07 15:28
- 阅读 ( 874 )