漏洞挖掘

墨染 殇雪1 天前
网络安全·漏洞分析·漏洞挖掘·安全机制
文件上传漏洞基础及挖掘流程定义用户通过文件上传的功能模块进行文件上传时,如果服务端没有对上传文件进行严格的验 证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。则 攻击者可以通过上传木马,webshell等恶意文件,经过web容器进行解析,对服务器进行 攻击造成伤害,叫文件上传漏洞。(常见上传点,头像,简历附件,留言栏,教务系统分数上传等)
小楓12015 天前
安全·web安全·漏洞挖掘
WEB漏洞挖掘篇(一) 基本概念、十大常見WEB漏洞在數位化時代,軟體無所不在。從我們手機上的App到銀行的後台系統,程式碼構成了現代社會的基石。然而,只要有程式碼,就可能存在錯誤(Bug);而其中那些能對系統的機密性、完整性或可用性造成負面影響的錯誤,我們稱之為漏洞。
独行soc7 个月前
python·安全·web安全·漏洞挖掘·任意文件读取
#渗透测试#批量漏洞挖掘#Crocus系统—Download 文件读取免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
独行soc7 个月前
python·sql·安全·面试·漏洞挖掘·注入·微商场
#渗透测试#批量漏洞挖掘#微商城系统 goods SQL注入漏洞免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
炫彩@之星7 个月前
渗透测试·漏洞挖掘·小程序渗透·网路安全
edu小程序挖掘严重支付逻辑漏洞打开购电小程序 这里需要输入姓名和学号,直接搜索引擎搜索即可得到,这就不用多说了,但是这里的手机号可以任意输入,只要用户没有绑定手机号这里我们输入自己的手机号抓包直接进去在进入的过程中发现一个很有意思的包
XLYcmy7 个月前
论文阅读·物联网·网络安全·静态分析·漏洞挖掘·动态分析·固件
三篇物联网漏洞挖掘综述由于物联网设备存在硬件资源受限、硬件复杂异构, 代码、文档未公开的问题, 物联网设备的漏洞挖掘存在较大的挑战:
独行soc8 个月前
安全·web安全·面试·tomcat·漏洞挖掘·信息泄露·tomcat漏洞
#渗透测试#漏洞利用#红蓝攻防#信息泄露漏洞#Tomcat信息泄露漏洞的利用免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
独行soc8 个月前
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc8 个月前
数据库·安全·web安全·漏洞挖掘·sql注入·hw
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍10基于文件操作的SQL注入(File-Based SQL Injection)免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc8 个月前
数据库·sql·安全·web安全·漏洞挖掘·hw
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc8 个月前
数据库·sql·安全·渗透测试·漏洞挖掘
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
文章永久免费只为良心9 个月前
运维·经验分享·网络安全·漏洞挖掘
使用Python脚本进行编写批量根据源IP进行查询的语句用于态势感知攻击行为的搜索以下根据ip-list集里面的IP地址(可以自行扩充),然后采用srcaddress= "{ip}" or 的形式进行打印并存储在路径为:桌面的IOC结果.txt
独行soc9 个月前
安全·渗透测试·csrf·漏洞挖掘
#渗透测试#SRC漏洞挖掘#红蓝攻防#黑客工具之Burp Suite介绍07-Burp IP伪造免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。 #陇羽sec#
独行soc9 个月前
安全·web安全·漏洞挖掘·hw·红蓝攻防
#渗透测试#红蓝对抗#SRC漏洞挖掘# Yakit插件使用及编写01免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc9 个月前
开发语言·安全·渗透测试·漏洞挖掘·hw·红蓝攻防
#渗透测试#红蓝对抗#SRC漏洞挖掘# Yakit(5)进阶模式-MITM中间人代理与劫持(上)免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc9 个月前
安全·web安全·小程序·渗透测试·漏洞挖掘·src挖掘
#渗透测试#SRC漏洞挖掘#红蓝攻防#黑客工具之Burp Suite介绍05-网页端抓包与app小程序渗透01免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。 #陇羽sec#
网络安全技术分享9 个月前
linux·前端·python·web安全·网络安全·ctf·漏洞挖掘
新手参加CTF大赛——Web题目的基本解题流程CTF(Capture the Flag)是网络安全比赛中的一种常见形式,参赛者需要通过破解题目、发现漏洞并获取flag(标志)来获得分数。