这里是一个幻灯片~
33% Complete (success)
33% Complete (warning)
34% Complete (danger)

PHP反序列化详解

首先看一张图PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。serialize() //将一个对象转换成一个字符串un...

作者:管理员 查看:25 时间:2021-02-13

Gitea 1.4 未授权远程代码执行漏洞复现

Gitea 1.4 未授权远程代码执行一、漏洞描述Gitea是从gogs衍生出的一个开源项目,是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误,导致未授权用户可以穿越目录,读写任意文件,最终导致执行任意命令。二、影响版本1.4.0三、环境准备&&漏洞复现...

作者:管理员 查看:118 时间:2021-02-13

Apache Flink CVE-2020-175

0x00简介Apache Flink是近几年大火的数据处理引擎。受到各大厂商的推崇并且已经应用与实际的业务场景中。很多公司在进行选型的时候都会选择Apache Flink作为选型的对象。Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flin...

作者:管理员 查看:21 时间:2021-02-12

如何使用js-x-ray检测JavaScript和

js-x-rayjs-x-ray是一款功能强大的开源SAST扫描工具,其本质上是一个静态分析工具,可以帮助广大研究人员检测JavaScript和Node.js中的常见恶意行为&模式。该工具可以执行JavaScript AST分析,其目的是导出Node-Secure AST Analysis以实现更好的代码演化,...

作者:管理员 查看:23 时间:2021-02-12

利用图片上传功能实现存储型XSS

在本文中,作者利用文件上传机制,构造形成存储型XSS(Stored XSS)漏洞实现密码凭据信息窃取,最终获得了$1000的奖励。以下是作者的发现过程。漏洞发现1、登录进入目标WEB应用;2、手工枚举测试;3、观察WEB应用样式:4、从中可以看到多个文本输入区域,我尝试了诸如sqli、xss、ssti等漏洞,都没问题。...

作者:管理员 查看:21 时间:2021-02-12

新型钓鱼攻击竟然开始利用摩斯密码来隐藏URL

事件概述近期,网络安全研究人员发现了一种利用摩斯密码来执行攻击的新型网络钓鱼活动。在这种网络钓鱼攻击活动中,攻击这种使用了一种新型的模糊处理技术,即利用摩斯密码来隐藏电子邮件附件中的恶意URL地址。关于摩斯密码众所周知,塞缪尔·莫尔斯(Samuel Morse)和阿尔弗雷德·维尔(Samuel Morse)与1837年...

作者:管理员 查看:27 时间:2021-02-12

“大发111888非法赌博组织”IIS恶意劫持流量

背景近期,404积极防御实验室通过创宇安全大脑——业务安全舆情监控平台陆续监测并预警了65所学校、政府及科研机构的学报和期刊系统存在相同的非法赌博广告页面。受影响的网站都使用某公司开发的期刊采编系统,该系统在高校、科研领域广泛应用。涉及此次事件的“大发111888非法赌博组织”早在3年前就已存在,近期开始活跃。攻击方式...

作者:管理员 查看:26 时间:2021-02-11

2020年勒索软件利润暴涨311%

勒索软件现在占据着网络犯罪领域的主导地位,流入犯罪者控制的加密货币钱包的资金不断增长,与此同时加密货币的价格也是水涨船高。区块链分析公司 Chainalysis 表示:“尽管比特币短短几个月就蹿升至 40000 美元以上,但与加密货币有关的犯罪在 2020 年显著下降”。Chainalysis 的分析报告称:“在 20...

作者:管理员 查看:19 时间:2021-02-11

如何使用Token-Hunter收集GitLab组

Token-HunterToken-Hunter是一款针对GitLab组和成员的OSINT开源情报收集工具,该工具基于Python3开发在该工具的帮助下,广大研究人员可以轻松分析组和组成员之间的代码段、问题和问题讨论等内容,并从这些资产中收集潜在的敏感信息。收集到的信息旨在补充其他工具使用的相关信息,比如说Truffl...

作者:管理员 查看:27 时间:2021-02-11

2021年小型网络安全团队的安全挑战与应对之道

如何以更少的资源应对更高的风险:自动化、外包、整合、安全培训。尽管许多报告都在讨论大型企业安全团队及其面临的挑战,但小型安全团队呢? 随着风险形势呈指数级增长,小型安全团队与大型企业安全团队面临一样复杂的安全威胁,甚至于,网络犯罪分子清楚地知道,与规模较大、资金雄厚、保护较好的大型企业相比,针对这些小规模组织的攻击成本...

作者:管理员 查看:25 时间:2021-02-11