关注我们
QRcode 邮件联系 新浪微博
分类:web安全

Hongcms 3.0.0后台SQL注入漏洞分析

‍ ‍ * 本文作者:BlackWater,本文属FreeBuf原创奖励计划,未经许可禁止转载。
一、背景介绍
HongCMS是一个轻量级的中英文企业网站系统,访问速度极快,使用简单,程序代码简洁严谨,功能强大... ‍ ‍
Java代码审计丨某开源系统源码审计

Java代码审计丨某开源系统源码审计

‍ ‍ *本文作者:黑客小平哥,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

java源代码审计相关资料一直比较少,今天抽空给大家写一篇简单的开源代码审计,这是个做公司网站的开源模... ‍ ‍
探索基于.NET下实现一句话木马之Asmx篇

探索基于.NET下实现一句话木马之Asmx篇

‍ ‍ 0×01 前言

上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序(asmx)下的工作原理和如何实现一句话木马,当然介绍之前笔者找到... ‍ ‍

天融信关于CVE

‍ ‍ 一、背景介绍
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVA EE架构的中间件, WebLogic是用于开发、集成、部署和管理大型分布式Web应用、... ‍ ‍
Game

Game

‍ ‍ 0×00 说明
虚拟机地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/
这个靶机的难度较高,过程并不是一气呵成,所以经过了多次更换网络和IP的过程,ip略有混乱... ‍ ‍
打造刀郎安全PHP系统

打造刀郎安全PHP系统

‍ ‍ *本文原创作者:刀郎,本文属FreeBuf原创奖励计划,未经许可禁止转载

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们... ‍ ‍

某入群题之命令执行字符限制绕过(WEB100)

‍ ‍ 某入群题又来啦!由于之前刚好做了下hitcon的两个命令执行绕过,问了下pcat能不能写这篇文章。然后他说随便我…..这里就记录一下。看题!


类似上次的两题,只是这次字符长度... ‍ ‍

挖洞经验 | 连接多个漏洞获取管理员访问权限

‍ ‍ 在几个月前,我有幸被邀请参加了HackerOne上的一个私人项目。该项目受到一系列IDOR漏洞的影响,通过对这些漏洞的利用,我成功接管了他们的一个应用。由于保密协议的限制,因此在本... ‍ ‍
一次友好的渗透测试

一次友好的渗透测试

‍ ‍ *本文原创作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载
那天去参加了FreeTalk2018的线下活动,还不错哈哈,也希望多搞几场这样的活动,作为小白的我还是非常渴望看... ‍ ‍

如何通过滥用SSL TLS绕过Web应用程序防火墙

‍ ‍ 介绍
近些年来,Web安全已经逐渐变成了IT安全领域里非常重要的一个部分。Web应用的优势就在于开发人员可以在较短的时间内集成各种关键服务,而且维护难度也比传统的桌面端应... ‍ ‍

运营商互联网业务暴露面安全

‍ ‍ 对于一个士兵来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索然无味。在众多... ‍ ‍

基于卷积神经网络的SQL注入检测

‍ ‍ *本文原创作者:fishyyh,本文属FreeBuf原创奖励计划,未经许可禁止转载
一、前言
本文结合自然语言处理技术,采用卷积神经网络算法训练SQL注入检测模型,主要包括文本处理、提取文本... ‍ ‍

九种姿势运行Mimikatz

‍ ‍ *本文原创作者:R1ngk3y,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言
平时收集的一些姿势,用户绕过杀软执行mimikatz,这里以360为例进行bypass 测试。
下载最新版360:


未... ‍ ‍

Burpsuit结合SQLMapAPI产生的批量注入插件

‍ ‍ 前言
前辈们的功劳是无限大的。
PHP是世界上最好用的语言,没有之一。
出发点
一个网站是由多个开发人员协同工作完成的,他们遵循一定的命名规范(模块+动词+名称)等。在对一个网... ‍ ‍
  记某次从控件漏洞挖掘到成功利用

记某次从控件漏洞挖掘到成功利用

‍ ‍ 之前对某ActiveX控件进行漏洞挖掘的时候发现了一个栈溢出漏洞,最近一时兴起写下了这篇针对该漏洞的从挖掘到成功利用的分享文章。如题,本文将从漏洞挖掘和漏洞利用两个方面进... ‍ ‍
  WebLogic反序列化漏洞(CVE

WebLogic反序列化漏洞(CVE

‍ ‍ 漏洞简介
2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的... ‍ ‍

安全科普:浅谈弱口令的危害

‍ ‍  * 作者:千里目安全实验室

故事要从一次艰难的渗透测试说起(以下案例均为授权测试),实践证明,要想进行一次完美的渗透,网站漏洞跟弱口令更配!


 * 作者:千里目安全实验室,本文属F... ‍ ‍
  基于JXWAF快速搭建钓鱼网站

基于JXWAF快速搭建钓鱼网站

‍ ‍ 一、前言
前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。
PS:本文仅用于技术讨论及分享,严禁用于非法用... ‍ ‍
  实现一个简单的Burp验证码本地识别插件

实现一个简单的Burp验证码本地识别插件

‍ ‍ * 本文作者:releasel0ck,本文属FreeBuf原创奖励计划,未经许可禁止转载
0X00:前言
为什么要写一个这个东西呢?虽然现在好多大网站都不用图片验证码了,但是仍然有一部分陈旧的web系... ‍ ‍