本系列文章旨在对于有一定网络安全基础的人员，在日常工作中扫描出来的各种漏洞，如何进行验证，以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。一、漏洞描述SSH的配置文件中加密算法没有指定，默认支持所有加密算

前言：网络安全攻击方式有很多种，其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。　　什么是XSS攻击?XSS攻击又称为跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞，是由于Web应用程序对用户的输入过滤不足而产生的，它

反引号是个比较特别的字符，下面记录下怎么利用0x00SQL注入反引号可利用在分隔符及注释作用，不过使用范围只于表名、数据库名、字段名、起别名这些场景，下面具体说下1）表名payload：select\from\users\whereuser\_id1limit0,1;!(https://o

据BleepingComputer网站披露，近20家汽车制造商和服务机构存API安全漏洞，这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息的恶意攻击活动。据悉，出现API漏洞的品牌包括但不限于宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、

前言    在上一篇文章《利用Python半自动化生成Nessus报告》中，提供了一个demo和中文漏洞库，总感觉少了点什么。这两天，抽空完善了一下脚本，可支持中文漏洞库，自动化生成Nessus漏洞扫描报告。github地址：https://github.com/Bypass007/Nessus\_to\_report使用

Java反序列化攻击漏洞由FoxGlove的最近的一篇博文爆出，该漏洞可以被黑客利用向服务器上传恶意脚本，或者远程执行命令。由于目前发现该漏洞存在于Apachecommonscollections，Apachexalan和Groovy包中，也就意味着使用了这些包的服务器(目前发现有WebSphere，WebLogic，

搭建调试环境，调试CVE201910758漏洞，学习nodejs沙箱绕过，以及nodejs远程调试。目前网上关于该漏洞的基于docker的远程调试分析写的很泛，本文从初学者角度分析调试漏洞成因，特别是在chrome浏览器调试nodejs上花了点篇幅。0x01认识mongoexpressmongoexpress是一个Mong

我们知道，Spring对象属性的注入方式有两种：设值注入和构造注入。先看代码：　　假设有个类为People，该对象包含三个属性，name和school还有age，这些属性都有各自的setter和getter方法，还有一个包含这三个属性的构造方法。如果用spring来管理这个对象，那么有以下两种方式为People设置属性：　　1.设值注入：

1.SQL注入     1)什么是sql注入:         例如:用户在网页进行登录操作时,输入数据库语句,导致网页的登录限制失效,不需要输入用户名和密码,用户可以输入语句就登录网页     2)出现sql注入的原因:        因为太相信用户的输入,导致我们在接收用户

背景最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌现出了各类分析文章，关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。经常看我文章的朋友都知道，面对这样热门有意思的技术点，怎能错过深入分析一波呢？大概你也已经