XXE攻击指南

现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。 本文将描述XML外部实…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 785 )

我如何找到了Facebook广告服务的信息泄漏漏洞(奖金高达10000美刀)

Facebook提供了一个GraphQL节点,管理员可以通过该节点查看用户的广告点击日志。这些广告指的是在Facebook和Instagram上展示的广告,可以是赞助商广告,或侧边栏上显示的常规广告,可以根据不同...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 930 )

某P2P系统对象自动绑定漏洞可任意充值

许多框架(例如Spring MCV)都支持对象自动绑定,这允许HTTP请求参数自动绑定到对象。但是,攻击者可以添加其他HTTP请求参数,如果开发人员在处理业务逻辑时缺少安全检查,则会导致相应的安全问...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 891 )

web安全之如何全面发现系统后台

前言所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 902 )

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数…… 近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 991 )

Thinkphp5X设计缺陷导致泄漏数据库账户密码

0x00 框架运行环境 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 1172 )

ThinkPHP5 SQL注入漏洞 && PDO真/伪预处理分析

刚才先知分享了一个漏洞( Thinkphp5.X设计缺陷导致泄漏数据库账户密码),文中说到这是一个信息泄露漏洞,但经过我的分析,除了泄露信息以外,这里其实是一个(鸡肋)SQL注入漏洞,似乎是一个不允许…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 897 )

安全隐患,你对X-XSS-Protection头部字段理解可能有误

0×00。简介 我做了一项调查,看看X-XSS-Protection领域的哪一项设置最差。调查结果非常令人惊讶,所以我有这篇文章。 网民们认为最糟糕的配置是X-XSS-Protection: 0,其次是X-XSS-Protection: 1...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 1030 )

平安集团·安全平台部招聘-高级安全系统运营工程师

工作职责1.负责自研安全系统的部署与发布、架构评审、系统监控,故障处理。2.负责elk、kafka、flink等常见开源产品的研究与运营3.负责日志的收集、处理、分析工作岗位要求1.本科及以上学历,3…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 909 )

平安集团·信息安全运营中心招聘-SOC监控工程师

工作职责负责中国平安集团的信息安全事件监控和响应工作,对检测到的异常,能够根据异常的类型、严重程度,遵照事件处理流程,进行初步处理或协调跟进后线人员进行处理;岗位要求1.计算机、通信工程或相关专业本科…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 835 )

语音邮件故意破坏:在MICROSOFT EXCHANGE SERVER上执行远程执行代码

“非特权Exchange用户可以通过.NET BinaryFormatter反序列化漏洞在Exchange Server中以”NT AUTHORITY \ SYSTEM“运行任意代码。”它着实引起了我…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 851 )

e 安在线说等保 | 定级与备案了解多少,才能放心迈出等级保护工作的第一步

各位看官周五好,今天是七夕,在这里e小安祝大家有情人终成眷属~~网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统定级工作应该按照“用户…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 880 )

海外 | 2018年漏洞披露数量远远超过往年

根据Risk Based Security的最新报告,今年迄今披露的10,644个漏洞中,有近17%的是重大漏洞。对于那些希望通过补丁修补来避免系统缺陷的组织来说,这并不是个好消息。今天发布的Risk…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 753 )

批量弱密码检查破解,完美支持SSH/FTP/MySQL/Oracle/SQLSer热等级

超弱密码检查器 简介: 该工具是用C#开发的。该工具目前支持SSH,FTP,MySQL,SQLServer,Oracle,MongoDB,PostgreSQL,POP3,SMTP,IMAP,Memcached,Redis,Telnet等服务的批量破解弱密码。...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 890 )

银石自动Disucz论坛扫描号码爆破用户密码工具1.21升级版定制爆破词典!

这个程序是由.NET框架编写的,XP需要安装.NET 1.Gid过滤用逗号(,)分隔 2.用户名文件由回车符分隔 3.如果从文件导入的用户名是乱码,请在用户名获取中将编码模式转换为另一个(UTF8orGBK)。...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 865 )

8月21日安全热点

安全研究 安全研究 发现并利用TerraMaster NAS漏洞 http://t.cn/RkispAG Alejandro Parodi已实施新的安全说明SEIG SCADA System 9远程执行代码 http://t.cn/RkispLt 未知 未知 Git...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 781 )

8月12日安全热点

安全工具 安全工具 Unix/Linux系统的安全审计工具 http://t.cn/RDlRJRf JoomScan 0.0.6 - OWASP Joomla漏洞扫描程序项目 http://t.cn/RDlRJEB 安全研究 安全研究 WebKit浏览器漏...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 709 )

IDA F5 在 CTF逆向中的坑

在CTF逆向中有部分题目,只需要静态分析就可以得到答案。出题者为了增加难度,会利用IDA F5的bug,致使生成伪代码时出错,从而降低分析效率。现以上次比赛的cracking_game为例,讲解如何绕…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 795 )

Ridrelay:一种在Intranet上快速查找域用户名的工具

今天推出了一个名为Ridrlay的工具(@ skorov8),研究人员可以使用该工具枚举内部网络上的域用户名信息,只具有低级权限。 RidRelay操作机制 RidRelay集成了SMB Relay攻击技术。常见的lsarpc查...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 847 )

网鼎杯网络安全大赛部分Writeup第一场

一、 Misc1. 题目:签到解答:(1) 提示让关注公众号,关注后在公众号里边输入“青龙之站”之后如下图所示;(2) 回复1f5f2e进入下一关,如下图所示;…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 891 )