腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
返回腾讯云官网
黑伞安全
Umbrella枇杷哥
专栏成员
举报
76
文章
183851
阅读量
107
订阅数
订阅专栏
申请加入专栏
全部文章(76)
网络安全(31)
http(24)
安全(21)
https(20)
网站(17)
github(11)
php(10)
shell(10)
python(8)
tcp/ip(8)
java(7)
编程算法(7)
git(6)
html(5)
api(5)
开源(5)
windows(5)
linux(4)
文件存储(4)
黑客(4)
ssh(4)
数据库(3)
sql(3)
tomcat(3)
缓存(3)
dns(3)
javascript(2)
actionscript(2)
xml(2)
云数据库 SQL Server(2)
打包(2)
apache(2)
spring(2)
命令行工具(2)
企业(2)
正则表达式(2)
ftp(2)
c++(1)
go(1)
servlet(1)
jsp(1)
vbscript(1)
node.js(1)
css(1)
jquery(1)
json(1)
云数据库 Redis®(1)
postgresql(1)
access(1)
django(1)
ide(1)
vba(1)
struts(1)
windows server(1)
容器镜像服务(1)
laravel(1)
云函数(1)
检测工具(1)
腾讯云测试服务(1)
图像处理(1)
DevOps 解决方案(1)
express(1)
serverless(1)
存储(1)
自动化(1)
爬虫(1)
jdk(1)
gui(1)
sql server(1)
面向对象编程(1)
opencv(1)
asp(1)
selenium(1)
rpc(1)
udp(1)
zabbix(1)
socket编程(1)
uml(1)
powershell(1)
数据分析(1)
安全漏洞(1)
数据结构(1)
虚拟化(1)
网站渗透测试(1)
ipv6(1)
漏洞扫描服务(1)
base64(1)
client(1)
com(1)
cs(1)
ip(1)
matrix(1)
path(1)
txt(1)
url(1)
word(1)
搜索文章
搜索
搜索
关闭
painLoader 加载器(无疫烦)
网络安全
c++
打包
编程算法
其实主要是最近这段时间自己经历了一些比较难受的事情(Emm,说实话,很难受),为了转移自己的注意力,让自己能稍微缓一缓(但是,没什么效果,反而还更糟心了)。
黑伞安全
2023-03-03
275
0
“土法”排查与修复一个 Linux 内核 Bug
html
编程算法
数据结构
爬虫
最近有幸捡了个漏 ,修了个有 13 年历史的 Linux 内核 bug,相关修复已经合并到 Linux 主线版本 5.14-rc3。发现新的 Linux 内核 bug 的机会不总是有,在客户现场进行调试和诊断往往
黑伞安全
2023-03-03
1.4K
0
记一个免杀分发平台从构思到实现
云函数
serverless
大约在19年末到21年初的时候, 在参加的诸多红蓝对抗和渗透测试中.渐渐发现每当遇到目标机器存在反病毒软件时. 都需要对投放的载荷进行免杀处理, 而在我尝试了市面上开源或者未开源的等一系列免杀工具后我发现, 虽然有些工具的免杀效果确实不错.但大部分在使用时都需要手动替换载荷或者指定相应的参数, 在红蓝对抗这种跟时间赛跑的情况下, 这种方式就显得有点疲软了.
黑伞安全
2023-03-03
680
0
红蓝对抗-Cuckoo 恶意软件分析沙箱部署教程
开源
python
windows
网站
Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。主体使用python开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件,沙箱系统即可自动分析,并在分析完毕后提供一个详细的报告,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件.
黑伞安全
2022-12-20
6.5K
1
Spring-security authorization bypass CVE-2022-22978 analysis
spring
https
正则表达式
api
数据分析
Spring Security 是 Spring 家族中的一个安全管理框架。在 Spring Security特定版本中存在一处身份认证绕过漏洞(CVE-2022-22978)。由于RegexRequestMatcher正则表达式配置权限的特性,当在Spring Security中使用RegexRequestMatcher且规则中包含带点号的正则表达式时,攻击者可以通过构造恶意数据包绕过身份认证
黑伞安全
2022-09-03
1.2K
0
Django SQL injection CVE-2022-28346 analysis
python
https
django
github
git
最近在看CNVD时无意间看到两条关于Django的最新漏洞通告,随即打开看了一下.大概意思是说Django在2.2.28 版本之前的2.2版本、3.2.13版本之前的3.2版本、4.0.4版本之前的4.0版本使用QuerySet.annotate() aggregate() extra()数据聚合函数时会导致SQL注入问题.由于笔者平时开发一些平台多半也是使用Django,所以便尝试进行分析了一下.如有描述不当之处,还望大佬们斧正.
黑伞安全
2022-05-17
1.8K
1
3vilGu4rd 免杀/权限维持
网络安全
http
github
shell
vbscript
3vilGu4rd是一个权限维持的工具。使用VBS编写,并打包成VBE后缀的二进制文件,理论上在xp以后的系统都可以运行。经测试,在win7,w2k8,win2019,win10win11都可以正常进行权限维持。
黑伞安全
2022-04-02
1.1K
0
SpringCloud Function SPEL表达式 RCE 漏洞分析
spring
安全
github
express
git
title: SpringCloud Function SPEL RCE analysis date: 2022-03-29 12:46:03 tags:
黑伞安全
2022-03-31
746
0
什么是服务器端请求伪造 (SSRF)?
php
安全漏洞
网站
tcp/ip
http
本文翻译http://acunetix.com/blog/articles/server-side-request-forgery-vulnerability/
黑伞安全
2022-01-26
1.6K
0
代码审计(二)——SQL注入代码
网络安全
安全
sql
数据库
云数据库 SQL Server
当访问动态网页时,以MVC框架为例,浏览器提交查询到控制器(①),如是动态请求,控制器将对应sql查询送到对应模型(②),由模型和数据库交互得到查询结果返回给控制器(③),最后返回给浏览器(④)。
黑伞安全
2022-01-26
6.9K
0
Log4j2 RCE分析
apache
安全
网络安全
java
javascript
进入到error函数后首先会调用logIfEnabled,在该函数中首先会调用isEnabled判断是否要进行日志记录(具体细节后面会讲)。如果满足一定条件则调用logMessage进行下一步操作。
黑伞安全
2021-12-13
1.2K
0
珂兰寺小课堂|PHP代码审计(一)
网站
windows
linux
php
http
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。它是防御性编程范例的一个组成部分,旨在程序发布之前减少错误。
黑伞安全
2021-12-09
1.5K
0
Adobe ColdFusion 反序列化漏洞复现踩坑
https
网络安全
安全
github
ide
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
黑伞安全
2021-10-14
1.9K
0
珂兰寺小课堂|Tomcat系列漏洞复现
安全
网络安全
tomcat
http
容器镜像服务
本篇文章是关于Tomcat历史漏洞的复现,介绍了以下3个漏洞的原理、利用方式及修复建议。
黑伞安全
2021-10-14
1.9K
1
公交售票手机APP中的XXE
ssh
http
目标的范围是一个票务Android应用程序(Prod)。这个应用程序是基于德国的主要公共交通票务应用程序。
黑伞安全
2021-10-14
351
0
基于service的远程主机os识别之抄个痛快
https
ftp
网络安全
ssh
开源
这半个月我主要都在狂抄nessus/openvas/xxxx的os_finger/detect脚本,明天去叙利亚打暑假工了,做个最后总结。
黑伞安全
2021-10-14
916
0
珂兰寺小课堂|Weblogic SSRF漏洞复现
云数据库 Redis®
php
网站
shell
http
前面那个Weblogic 后台getshell的漏洞学会了吗,接下来我们一起来复现一下Weblogic SSRF漏洞。
黑伞安全
2021-10-14
1.3K
0
C2服务器隧道代理分析
http
tcp/ip
命令行工具
socket编程
代理是委托一个人找目标,隧道是通过特定的通讯方法,直接找到这个目标;代理最主要的特征是,无论代理后面挂了几个设备,代理对外只表现为一个设备。外部设备以为自己是在和代理交互,而不能感知代理内部的设备。隧道是一个虚拟的路径,用来使到达隧道入口的数据,穿越原本不方便穿越的网络,到达另一侧出口。 代理和隧道概念上虽然有区别,但它们的区别不是本质冲突,可以同时实现,也就是隧道代理,即通过隧道进行代理。
黑伞安全
2021-10-14
1.3K
0
非传统 WAF/IDS 规避技术指南
ipv6
python
tcp/ip
https
网络安全
原文总结的一些姿势在实际挖洞的时候还比较管用,原文地址https://blog.0xffff.info/2021/07/24/a-guide-to-non-conventional-waf-ids-evasion-techniques/
黑伞安全
2021-08-06
818
0
CVE-2021-22555: Turning \x00\x00 into 10000$
https
github
linux
网络安全
git
本文摘录于https://google.github.io/security-research/pocs/linux/cve-2021-22555/writeup.html
黑伞安全
2021-08-06
749
0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
