最新发布第3页
LambdaGuard:一款针对AWS无服务器环境安全的审计工具
关于LambdaGuard AWS Lambda是由Amazon Web Services提供的事件驱动的无服务器计算平台。它是一种计算服务,支持开发人员运行代码以响应各种事件,并自动管理代码所需的计算资源。 而LambdaGuar...
【初级】Apache CouchDB命令执行漏洞复现
CVE-2017-12636 漏洞描述:Apache CouchDB是一款开源数据库,专注于易用性和成为“完全拥抱Web的数据库”。它使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL类...
Java反序列化Commons-Collections1 TransformMap 版经验手记
0x01 前言 反序列化的漏洞,find usages 的部分,都建议大家手动去找一找。 0x02 环境搭建 JDK8u65openJDK 8u65Maven 3.6.3(其余版本可以先试试,不行再降版本) 当时环境搭建踩了好多坑, 多亏...
从mcms历史漏洞中捡漏
前言 这段时间忙于工作,无法自拔~~~ 上周末刚好有空,随便逛了一下java开源cms,发现一个star挺多的mcms,就看了一下issues,发现了两个比较有意思的地方(主要感觉问题没有修复完全),写出来...
武装你的BurpSuite
0x01 前言 BurpSuite是广大安全人员使用率最高的一款工具了,通过对数据包的修改,重放往往能发现很多安全问题,而burp的插件能帮助我们进一步优化使用体验,更好的去发现漏洞。下面是经常用到...
Coraza:一款功能强大的企业级OWASP Web应用程序防火墙
关于Coraza Coraza是一款功能强大的企业级OWASP Web应用程序防火墙框架,该工具基于Golang开发,不仅支持Modsecurity的Seclang语言,而且能够100%兼容OWASP核心规则集。 该工具完全开源,...
通过DCERPC和ntlmssp获取Windows远程主机信息
前言 本文通过利用DCERPC协议的ping,并附加NTLMSSP认证信息来获取获取windows远程主机的版本号,主机名,所在域的域名,DNS等信息。 因为通过rpc进行探测的工具,大部分都是依托impacket来实现...
Scout:一款功能强大的轻量级URL模糊测试与爬取工具
关于Scout Scout是一款功能强大的轻量级URL模糊测试与爬取工具,可以帮助广大研究人员进行URL模糊测试,并爬取目标Web服务器中难以扫描发现的VHSOT、文件和目录等资源。 项目中包含了一个完整的...
【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击
恶意家族名称: Magniber 威胁类型: 勒索软件 简单描述: Magniber勒索家族的前身是Cerber,至少从2021年10月已经开始活跃,最初主要针对韩国,从今年年初开始,该组织日益活跃,攻击范围开始...
【初级】liferay 命令执行
CVE-2020-7961 漏洞描述:2020年03月20日,Code White发现了影响Liferay Portal版本6.1、6.2、7.0、7.1和7.2的多个关键级别的JSON反序列化漏洞。它们允许通过JSON web服务API执行未经身份验证的...