-
禅道全版本rce漏洞分析
1 厂商简介禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP...
-
简单判断是否是cve-2019-0708攻击
今早一起床,发现cve-2019-0708 exp已经公开。但是作为安服人员,攻击是一回事,应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-2019-0708攻击。因为cve-2019-0708这类是溢出类攻击,所以跟ms1...
-
TP Link SR20 ACE漏洞分析
TP Link SR20 ACE漏洞分析这个漏洞是Matthew Garrett在发现漏洞并将漏洞报告给官方后未得到官方回复后,将其漏洞信息公布在了个人网站上,404的大佬在复现漏洞的时候官方还未修复漏洞,但是我下载固件的时候看到了官方已经...
-
爬虫必备-如何使用Chrome DevTools花式打断点
来源:https://segmentfault.com/a/1190000016671687原文:Pause Your Code With Breakpoints作者:Kayce Basques Chrome DevTools &...
-
浅谈常见的文件上传的检测方式与绕过方法
前言文件上传漏洞是我们平时渗透过程中经常利用的漏洞,利用文件上传我们可以直接得到webshell,是非常直接的攻击方式。写这篇文章主要是想对常见的文件上传检测和绕过进行总结,同时练习文件上传php代码的编写。以下上传测试使用的HTML表单的...
-
由JSON CSRF到FormData攻击
首先:你们必须知道CSRF攻击,如果不知道,那么这里是一个简短的介绍:CSRF是一种攻击,它迫使最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操作。CSRF攻击专门针对状态变化请求,CSRF攻击可以强制用户执行状态转换请求,如...
-
基于SPARK的分布式网页近似度检测
前言随着Web上数量的急剧增长,近似镜像网页的数量也在不断增加。近似镜像网页的存在,严重影响了搜索引擎的检索结果。如果我们能将搜集到的网页中的近似镜像网页去掉,可以提高搜集系统和索引系统效率,用户查询时也不会出现大量内容重复的网页。去除镜像...
-
腾讯QQ升级程序存在漏洞 被利用植入后门病毒
【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。病毒分析火绒近日截获,有黑客...
-
基于机器学习的jsp/jspx webshell检测
前言在上文《基于AST的Webshell检测》中,笔者已经提出了基于抽象语法树是可以用来检测Webshell的,那么如何将这种思想应用在jsp/jspx的webshell检测便是本文讨论的重点。简单回顾下抽象语法树的检测原来,由于websh...
-
教会微信:突破文件发送100M限制
9102年了,我想大部分人使用微信的频率应该都会高于QQ了吧。以前在QQ传文件的时候,哪里会想到会有文件大小限制,几G、几十G的文件随意传。而现在,用微信传文件,很尴尬,只能传100M或更小的文件。为什么做这个限制?我想可能是因为微信一开始...
