【漏洞预警】WordPress REST API 内容注入

漏洞信息 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 815 )

常见Web源码泄露总结

背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现。 源码泄漏分类 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.exa…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 819 )

使用 Msf 和 lcx 进行 Port Tunnel

本文《使用 Msf 和 lcx 进行 Port Tunnel》由armyzer0团队原创投稿安全脉搏,安全脉搏独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 使用 Msf 和 lc…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 822 )

爆破为王 | DSRC课程第二期

前言 它山之石,可以攻玉。DSRC课程会定期邀请一些嘉宾进行安全技术分享,希望大家在切磋交流的同时,有所收获不断进步。 本期嘉宾 土夫子-DSRC榜首白帽,低调谦和帅锅一枚,尤其擅长爆破和逻辑漏洞挖掘…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 821 )

如何在趋于成熟期的车载信息安全产业发展阶段中成功获取商业机遇

随着近年来车载信息安全产业内的收购与合作等频繁商业活动的展开以及安全产品的不断创新与发展, 整个产业已经呈现出成熟发展趋势。 在此趋势下,准确的掌握车载信息安全产业发展将面临的挑战和机遇是产业链内企业…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 825 )

基于机器学习的web异常检测

Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 851 )

利用bat2exeIEXP + Empire 隐藏后门

本文《利用bat2exeIEXP + Empire 隐藏后门》由armyzer0团队原创投稿安全脉搏,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 Empire是一个纯碎的P…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 1030 )

Smbv3 远程拒绝服务漏洞简要分析

漏洞简介 此漏洞是由于windows处理smb协议驱动mrxsmb20.sys在解析Tree Connect Response时,未正确处理包长度导致的空指针引用漏洞。当Tree Connect Re…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 793 )

【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941

Node.js爆出反序列化远程代码执行漏洞,该漏洞详情如下:1、综述Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Jav…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 737 )

QEMU高危漏洞可执行任意代码 影响国内多家公有云平台

360GearTeam的安全研究员李强(360信息安全部)发现QEMU的VGA设备CirrusCLGD 54xx VGA中存在一个严重的内存越界访问读写漏洞,该漏洞可以造成宿主机层面的任意代码执行,该…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 799 )

小白如何学习挖掘漏洞 | 滴滴DSRC课程第一期

前言 为了帮助各位白帽加速成长,学到更多的实用技巧。运营妹子决定开设DSRC课程,定期邀请一些嘉宾为大家进行主题分享。如果你也想来分享,欢迎到微信后台留言联系我们。 本期嘉宾 第一期课堂的主题是:小白…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 782 )

我的ELK搭建笔记(Windows 日志收集)

我的ELK搭建笔记 (Windows 日志收集) 目录预览   1、需求说明 2、Winlogbeat工具介绍 3、安装部署 3.1 下载 3.2 配置 3.3 安装 3.4 …

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 838 )

柯力士信息安全诚聘英才

上海柯力士信息安全技术有限公司是一家国内领先的信息安全服务供应商。 公司成立于2009年,注册资本500万元,总部位于上海,并在香港、江苏及山东设有分公司。  柯力士专注于全球漏洞特征的收集,最新漏洞…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 884 )

渗透测试中的LLMNR/NBT-NS欺骗攻击

简介  LLMNR&NBT-NS 欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 819 )

本地文件包含漏洞利用技巧

0x00 前言 本文的主要目的是分享在服务器遭受文件包含漏洞时,使用各种技术对Web服务器进行攻击的想法。 我们都知道LFI漏洞允许用户通过在URL中包括一个文件。在本文中,我使用了bWAPP和DVW…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 862 )

汽车网络安全设计与防护

建立卓越的汽车网络信息安全体系是一个旅程。目前看来行之有效的就是建立一套有效的安全系统架构。    在汽车网络信息安全受到严重威胁的今天,奇瑞汽车在网络安全设计与防护领域处于行业领军地位。 …

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 889 )

超声波追踪技术可以暴露Tor用户的真实信息(去匿名化,含视频)

许多广告客户在其网络广告中使用了名为uXDT的技术。此技术可帮助他们跟踪访问习惯,以便他们可以更具体地将广告定位到用户。此时,攻击者可以嵌入可以在网页中发射超声的广告或JavaScript代码...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 768 )

安全小课堂第四十五期【域名爆破的原理与工具】

域名爆破的原理与工具 对网站进行安全检测的过程中域名爆破不仅能帮助发现无法搜索到的域名,还能收集到通过探测目录是不能够探测到后台,能大大提高渗透的成功率。 本期安全小课堂JSRC邀请到了讲师Chora…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 1052 )

针对Android沙盒的“中间APP攻击”

Android for Work是Android的“沙盒”机制,旨在安全地存储企业数据。然后,来自Skycure的安全研究人员最近发现Android for Work可以通过“中间应用攻击”进行黑客攻击。 这种Android工作模式实际...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 797 )

2017“百度杯”二月第二周Write Up

1,爆破一 限制了只允许数字字母下划线 利用超全局变量 $GLOBALS 获得FLAG   2,爆破二 很明显的代码注入 获得FLAG 3,爆破三 SESSION nums需要>=10…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:33
  • 阅读 ( 791 )