首页
学习
活动
专区
工具
TVP
发布

信安之路

专栏成员
622
文章
1212778
阅读量
181
订阅数
记一次安服仔的逆袭 | 实战
按照惯例,每次护网开打的前几天,业务都会带着我们上门给甲方爸爸做安全服务。这次不知道是不是业务喝酒喝多了,居然跟甲方爸爸打包票能够找出大问题,而且就给我一天的时间,这不是为难我胖虎吗.jpg。
信安之路
2022-03-17
7960
如何让您的应用天然免疫apache-log4j(CVE-2021-44228),包括其它zero-day?
流行的 Java 日志框架 Apache Log4j2 漏洞在网上发布,漏洞发布之时甚至还没有 CVE 号,在 2021 年 12 月 10 日周五才有了正式的 CVE 号分配 -- CVE-2021-44228。这注定是一个载入史册的漏洞。原因有两点:
信安之路
2021-12-15
6670
史上最全 log4j2 远程命令执行漏洞汇总报告
2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞,在 12 月 9 日被国外有人公开 POC,从而导致了一波安全从业人员的疯狂运动,甲方安全从业者加班加点修复漏洞;白帽子们疯狂扫描漏洞并提交 SRC,一度导致一些 SRC 发布公告暂停接收相关漏洞;而黑灰产们已经在自己的挖矿勒索武器库上增加了该漏洞的利用模块。为什么会这么疯狂?
信安之路
2021-12-15
8.5K0
JavaScript 函数劫持攻击原理
一个简单的示例如下,主要逻辑就是,用变量 _alert保存原函数 alert,然后重写 alert 函数,在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候,可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。
信安之路
2021-04-14
1.4K0
记第一次 AWD 赛前准备与赛后小结
首先,利用方式为,先访问一下,一般是 upload 文件夹有上传权限,所以一般放这里,访问
信安之路
2021-01-25
1.6K0
绕过客户端验证进行安全测试
学习打卡计划是信安之路知识星球开启的 “每天读书一小时,挑战打卡一百天” 主题活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,学习书籍可以自选,主要目的是养成每日读书学习的好习惯,并将自己的学习心得分享出来供大家学习。
信安之路
2020-12-11
1.2K0
从零学习 NoSQL 注入之 Mongodb
NoSQL,指的是非关系型的数据库。NoSQL 有时也称作 Not Only SQL 的缩写,是对不同于传统的关系型数据库的数据库管理系统的统称。NoSQL 用于超大规模数据的存储。(例如谷歌或 Facebook 每天为他们的用户收集万亿比特的数据)。这些类型的数据存储不需要固定的模式,无需多余操作就可以横向扩展。
信安之路
2020-03-20
7.6K0
各种漏洞组合拳打出不一样的姿势
无意之中,发现 ZZZCMS 后台任意文件读取漏洞,发现这个漏洞的时候第一反应是很鸡肋。后来,在上厕所的时候突然想到一件事。这款 CMS 还存在 CSRF 和 XSS 的问题,想着能不能把这几个洞串在一起,降低攻击门槛呢?于是就开始瞎捣鼓。
信安之路
2019-07-12
1.4K0
由 CSRF 引起的 XSS 漏洞小结
这篇文章中有一个操作,就是修改缓存文件,从而达到 getshell 的目的,而其中修改缓存文件的功能是写在 /adminxxx/save.php 中的 editfile() 函数。
信安之路
2019-06-20
6810
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档