前言: Ecshop是国内的一款开源的电商框架,在国内应用较为广泛,当前最新版本为4.0.0,最近对其代码进行了简单的分析,发现可以绕过其filter触发XSS。 一、漏洞利用方式 发送GET请求包如…
前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。…
一、前言 近日,腾讯安全云鼎实验室监测到大量主机被入侵并添加了一个名为“vusr_dx$”的隐藏帐号;同时,云鼎实验室还监测到此类帐号被大量创建的同时存在对应帐号异地登录的情况。 Windows 的帐…
GitHub用户的好消息是,该平台将Python添加到编程语言列表中,以便能够自动扫描已知漏洞。 3月,代码托管服务GitHub 证实 ,11月引入GitHub安全警报可以大大减少平台上易受攻击的代码…
0×00 XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意…
一、前言 本文结合自然语言处理技术,采用卷积神经网络算法训练SQL注入检测模型,主要包括文本处理、提取文本向量和训练检测模型三个部分。由于本人是初学者,也是通过前辈们的文章来学习这方面的知识,很多地方…
今日国内第一家弹幕视频网站AcFun发生用户数据泄露事件,攻击者称已经获取A站的shell以及大量的用户数据信息,并且要求A站立即回复,否则将继续爆出相关用户数据信息。 以下是攻击者发表的帖子: 以下…
漏洞分析 首先,与大多数挖洞者的探测模式一样,我对目标网站进行了全方位的服务资产踩点识别,在此过程中,我发现了其中一个子域名网站比较有意思,于是,我就对它进行了目录遍历,然后,就发现了其名为/noti…
0×00 前言 看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。 通俗讲,就是XSS和sql注入相结合绕过waf。知识要…
0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管…

RadeBit瑞安全

RadeBit瑞安全