腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

黑白安全

黑白网成立于2014年，基于丰富的技术和经验，提供各类技术性动态。官网:heibai.org.cn

专栏作者

1299

文章

2141111

阅读量

250

订阅数

2022年蓝队初级护网总结

文件存储安全漏洞漏洞扫描服务安全网站

一. 设备误报如何处理？答：来自外网的误报说明安全设备需要进行策略升级，不需要处置。如果是来自内网的误报可以和负责人协商一下看能不能解决，有必要的话添加白名单处理。二. 如何区分扫描流量和手工流量？答：1.扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长2.使用工具扫描的流量一般在数据包中有相关特征信息，比如说通过wireshark

2022-09-13

4.8K1

从偶遇Flarum开始的RCE之旅

css 网络安全安全文件存储 flarum

事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程，请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任一次日常测试中，偶然遇到了一个Flarum搭建的论坛，并获得了其管理员账号。本来到这里已经可以算完成了任务，将漏洞报给具体负责的人就结束了，但是既然已经拿到了管理员账号，何不尝试一下RCE呢？首先，我在管理员后台看到当前

2022-09-13

1.1K0

TP6.0反序列化利用链挖掘思路总结

文件存储 java thinkphp php 缓存

最近CTF中TP反序列化考的比较频繁，从前段时间的N1CTF到最近的安洵杯都利用了thinkphp反序列化，疯狂填坑，审计挖掘了下TP5、TP6反序列化中的利用链，本篇主要总结下TP6利用链的挖掘思路。小白文章，大佬们请略过。。。

2022-04-26

1.6K0

thinkphp v6.0.x 反序列化利用链挖掘

文件存储 composer java 编程算法 php

0x00 前言上一篇分析了tp 5.2.x的反序列化利用链挖掘，顺着思路，把tp6.0.x也挖了。有类似的地方，也有需要重新挖掘的地方。 0x01 环境准备采用composer安装6.0.*-dev版本composer create-project topthink/think=6.0.x-dev v6.0 0x02 利用链分析背景回顾拿到v6.0.x版本，

2022-04-26

4120

使用白名单修复Oracle WebLogic中的RCE漏洞（CVE-2019-2729）

网络安全安全文件存储 oracle 网站

Oracle WebLogic最近在其软件中披露并修补了远程代码执行（RCE）漏洞，其中许多漏洞是由于不安全的反序列化造成的。Oracle 在2019年6月18日的带外安全补丁中解决了最新的漏洞CVE-2019-2729 .CVE -2019-2729的CVSS评分为9.8，这使其成为一个关键漏洞。此漏洞相对易于利用，但需要Java Development

2022-04-25

1.8K0

weblogic Coherence 组件漏洞总结分析

文件存储 https 网络安全安全 access

Coherence 组件是 WebLogic 中的一个核心组件，内置在 WebLogic 中。关于 Coherence 组件的官方介绍：https://www.oracle.com/cn/java/coherence/

2021-09-07

5920

技术分享 | Fastjson-RCE漏洞复现

网站 shell 文件存储 java 容器镜像服务

Fastjson提供autotype功能，允许用户在反序列化数据中通过 @type 指定反序列化的类型，其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时，攻击者构造的数据（恶意代码）会进入特定类的setter或getter方法中，可能会被恶意利用。影响版本 Fastjson1.2.47以及之前的版本

2021-09-07

1.2K0

fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路

网络安全安全文件存储

fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化，相比 1.2.47 版本的漏洞来讲这个版本的漏洞还是有一些限制的（关于 1.2.47 漏洞可以参考我的另一篇文章《Java 反序列化漏洞始末（3）— fastjson》[1]），例如 1.2.47 是可以绕过黑名单的限制的，而这个漏洞则无法绕过黑名单，并且需要类实现 AutoCloseable 接口。目前主要的 JNDI gadget 已经进了黑名单，还不允许反序列化类实现了 ClassLoader、DataSource、RowSet 接口，这就导致了绝大部分的 JNDI gadget 无法利用，所以本篇文章主要分享一下 gadget 的挖掘思路和漏洞的原理分析。

2020-06-10

3.3K0

ThinkPHP5.0.x反序列化利用链

thinkphp 缓存网络安全安全文件存储

漏洞测试代码 application/index/controller/Index.php 。

2020-02-13

7830

ThinkPHP5.0.x反序列化利用链

thinkphp 缓存网络安全安全文件存储

漏洞测试代码 application/index/controller/Index.php 。

2020-01-28

1.5K0

如何挖掘1500刀的反序列化漏洞

文件存储腾讯云测试服务 java

我找到了一个私人项目****(不能透露他的名字，我们暂且称之为Redacted.com)。测试这个项目的人非常之少。

2020-01-20

1.2K0

Freddy：一款基于活动被动扫描方式的Java&.NET应用程序漏洞扫描工具

文件存储 java json .net http

Freddy是一款开源工具，该工具的功能基于主动/被动式扫描，在Freddy的帮助下，研究人员可以快速查找Java和.NET应用程序中的反序列化安全问题。

2020-01-20

1.5K0

Imago-Forensics：Python实现的图像数字取证工具

python 文件存储编程算法数据库

Imago是一个由python编写的图像数字取证工具，它可以从图像中递归提取数字证据。在整个数字取证调查中，这款工具非常有用。如果你需要提取图像中的数字证据且数量较多，那么Imago将能够帮助你轻松地对比它们。此外，Imago还允许你将证据提取到CSV文件或sqlite数据库中。如果在JPEG exif中存在GPS坐标，Imago可以提取经度和纬度，并将它们转换为度数检索相关信息，如城市，国家，邮政编码等。

2020-01-20

1.2K0

这是一篇让人脸红的python数据分析

数据分析文件存储

大家好，我是Bynn，数据团Python微专业和可视化微专业的优秀学员。前些天，我看到某公司对数据分析师的招聘要求有一条：

2020-01-20

9120

硬盘逻辑锁解法附加源码分析

文章发布出来，希望对被不怀好意的人锁住有一定的帮助，同时希望在本站观看过这篇文章的用户不要下载软件编译后对其他用户进行实验或者诈骗，否则一切后果自己承担！！

2018-12-25

2.5K0

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态