文章目录 前言 审计对象 代码安全扫描 命令注入-数据流分析 不安全的传输—语义分析 秘钥硬编码-代码结构分析 用户隐私泄露-数据流分析 cookie未启用httponly-代码结构分析 不安全的随机数-代码...

文章目录 功能介绍 工具下载 工具使用 简单样例: 使用样例 管理端： 起始节点： 第一个普通节点（设置为反向连接模式）： 第二个普通节点： 打开SSH： 项目地址 起始节点： 此时，切换到该节点...

文章目录 一、创投市场分析 交易情况： 融资情况： 项目阶段分布： 二、创投市场热点方向和热门项目 热点方向： 热门项目： 三、IPO及重大交易事件 2019年中国网络安全企业IPO： 2019年重大交易...

  文章目录 前言 审计过程 准备工作 0×01 了解cms传参过程 0×02 了解数据库操作 0×03 漏洞分析 0×04 管理员密码重置 第一处 第二处 0×05 后台cookie欺骗（不存在） 0×06 后台文件上...

历时半年多，利用业余时间，一点点啃完了整份报告的正文部分。关于后边引用的资料和附件部分没有翻译，意义不是很大。本研究报告推荐阅读人群：CEO、CIO、CISO、合规安全研究员。 资料来源：兰...

SSRF，即服务端请求伪造。当服务器需要请求资源时，请求的资源、协议、路径等可被用户控制。即可造成SSRF攻击。 本文着重研究通过 gopher协议 ，对 Redis服务 进行SSRF攻击，进而getshell。 gop...

文章目录 前言 调试 任意地址读 任意地址写 读什么地方 任意代码执行 栈迁移 前言 在Linux的js shell环境下利用成功了之后，我不禁开始思考，为什么每次都是在Linux环境下拿到一个shell呢？从一...

文章目录 Jira部署的防CSRF策略 漏洞问题 利用漏洞执行内网主机探测发现 PoC 总结 漏洞问题 这里我们以内网中Jira架构邮件服务为例进行测试。在Jira中部署POP3邮件服务时需要管理员提交完整的邮...

文章目录 一、黑玫瑰露西MaaS产品介绍 二、“黑玫瑰露西”新变种 2.1远程控制 2.2加密文件 2.3实施勒索 三、解决措施 四、样本信息 长期以来，勒索软件攻击已成为安全领域的一部分。我们熟悉的...

文章目录 工具下载 如何使用JudasDNS 配置参数值解析 Modifications 规则匹配类型 请求方IP 请求查询类型 响应状态码 如何接管一台域名服务器 项目地址 如何使用JudasDNS 下面给出的是JudasDNS...