实战|记录一次某客户系统的漏洞挖掘
作者:国光,转载于https://www.sqlsec.com/记录一个 Java 系统的漏洞挖掘,系统的主要的问题是没有做越权防护,其他漏洞暂时没有挖到,有点菜,先记录着吧,每天进步一点,总会变强...
admin
常规特殊字符被过滤的一种绕过技巧
以下文章来源于信安之路 ,作者Mannu Linux今天来分享一个绕过过滤比如 " ( ) % 等字符的场景,测试环境为 PHP+Mysql假设场景php 代码通过 HTTP GET 参数 p...
CVE-2020-14645 Weblogic UniversalExtractor Bypass ReflectionExtractor via T3 protocol
环境搭建参考前面的环境T3CVE-2020-14645原理这个利用方式也就是针对CVE-2020-2883的黑名单绕过,在2883那个CVE存在有两条链子,但是本质上都是通过ReflectionExt...
记一次从后门开展的应急响应溯源
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良...
CVE-2022-38627:Linear eMerge E3楼宇管理系统SQL注入
介绍:在这项研究中,我将向您展示我是如何找到这个关键的 0day 漏洞的,它让我可以控制整个企业大楼管理系统(门、摄像头、电梯等……)除此之外,我还可以获取员工数据,并添加新的有权访问企业大楼的权限等...
小皮面板后台管理页面XSS
第一步:我们先安装Linux小皮面板,来到登录页面后复制好相关后台连接和用户名密码后进行正常登录。 此时我们来到后台登录日志这里,发现记录正常登录,没有异常。 我们可以看到后台日志处显示登录成功记录。...
中国MOOC_零基础学Java语言_第6周 使用对象_2GPS数据处理
2GPS数据处理(5分)题目内容:NMEA-0183协议是为了在不同的GPS(全球定位系统)导航设备中建立统一的BTCM(海事无线电技术委员会)标准,由美国国家海洋电子协会(NMEA-The Nati...
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往W...