Johnny21 Johnny21
3年前
漏洞复测系列 -- SSH 支持弱加密算法漏洞
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。一、漏洞描述SSH的配置文件中加密算法没有指定,默认支持所有加密算
李志宽 李志宽
3年前
什么是XSS攻击?XSS攻击有哪几种类型?
前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。  什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它
Easter79 Easter79
3年前
sql注入
反引号是个比较特别的字符,下面记录下怎么利用0x00SQL注入反引号可利用在分隔符及注释作用,不过使用范围只于表名、数据库名、字段名、起别名这些场景,下面具体说下1)表名payload:select\from\users\whereuser\_id1limit0,1;!(https://o
专注IP定位 专注IP定位
1年前
网络安全中API常见漏洞
据BleepingComputer网站披露,近20家汽车制造商和服务机构存API安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。据悉,出现API漏洞的品牌包括但不限于宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、
Stella981 Stella981
3年前
Nessus中文报告自动化脚本
前言    在上一篇文章《利用Python半自动化生成Nessus报告》中,提供了一个demo和中文漏洞库,总感觉少了点什么。这两天,抽空完善了一下脚本,可支持中文漏洞库,自动化生成Nessus漏洞扫描报告。github地址:https://github.com/Bypass007/Nessus\_to\_report使用
Wesley13 Wesley13
3年前
JAVA 反序列化攻击
Java反序列化攻击漏洞由FoxGlove的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。由于目前发现该漏洞存在于Apachecommonscollections,Apachexalan和Groovy包中,也就意味着使用了这些包的服务器(目前发现有WebSphere,WebLogic,
Wesley13 Wesley13
3年前
mongo
搭建调试环境,调试CVE201910758漏洞,学习nodejs沙箱绕过,以及nodejs远程调试。目前网上关于该漏洞的基于docker的远程调试分析写的很泛,本文从初学者角度分析调试漏洞成因,特别是在chrome浏览器调试nodejs上花了点篇幅。0x01认识mongoexpressmongoexpress是一个Mong
Easter79 Easter79
3年前
Spring两种依赖注入方式的比较
我们知道,Spring对象属性的注入方式有两种:设值注入和构造注入。先看代码:  假设有个类为People,该对象包含三个属性,name和school还有age,这些属性都有各自的setter和getter方法,还有一个包含这三个属性的构造方法。如果用spring来管理这个对象,那么有以下两种方式为People设置属性:  1.设值注入:
Wesley13 Wesley13
3年前
mysql学习总结(三)
1.SQL注入     1)什么是sql注入:         例如:用户在网页进行登录操作时,输入数据库语句,导致网页的登录限制失效,不需要输入用户名和密码,用户可以输入语句就登录网页     2)出现sql注入的原因:        因为太相信用户的输入,导致我们在接收用户
DevOpSec DevOpSec
2年前
Log4j史诗级漏洞,从原理到实战,只用3个实例就搞定!
背景最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经