当前位置:首页 > 安全文摘 > Web安全
 
HACKING NODE SERIALIZE - 进一步利用 Node.JS 代码执行漏洞
 Petko D. Petkov2017-02-16 20:28:22
本文阐述了一种利用 Node.JS 代码执行漏洞的方法。在 JavaScript 中,所有的对象都是基于 Object,所有的对象都继承了Object.prototype的属性和方法,它们可以被覆盖。
利用 Node.js 反序列化漏洞远程执行代码
 Ajin Abraham2017-02-11 16:26:55
若不可信的数据传入 unserialize() 函数,通过传递立即调用函数表达式(IIFE)的 JavaScript 对象可以实现任意代码执行。
Jenkins-LDAP (CVE-2016-9299) 反序列化漏洞分析
 iswin2017-02-02 10:27:17
这个漏洞在去年11月份官方发布通告的时候我当时关注过,当时自己一直在找com.sun.jndi.ldap.LdapAttribute这个类相关的反序列化,当时意识到这个类里面的_getAttributeSyntaxDefinition()_方....
如何找到SQL注入中的盐
 Avenger2017-01-11 12:05:18
我们从相对简单的 SQL 盲注入手,展现其如何被利用到可以执行远程代码。在测试的过程中会用到 Dunacn.
基于约束的SQL攻击
 鸢尾2017-01-06 12:07:06
绝大部分开发者都意识到SQL注入漏洞的存在,在本文我想与读者共同去探讨另一种与SQL数据库相关的漏洞,其危害与SQL注入不相上下。
分享插件 AddThis 导致的 DOM XSS
 Kong2016-12-27 20:29:18
说明:这个漏洞是 https://labs.detectify.com/2016/12/15/postmessage-xss-on-a-million-sites/ 修复的绕过,目前已经报告给AddThis并得到修复。
新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS
 Kong2016-12-26 14:36:05
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程.
“净广大师”病毒HTTPS劫持技术深度分析
 kong2016-12-24 16:18:50
近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。
UXSS on Microsoft Edge – Adventures in a Domainless World
 kong2016-12-15 16:43:17
今天,我们来讨论设计上的问题,配合这些问题,我们最终在 Microsoft Edge 浏览器上实现了通用跨站脚本攻击(UXSS)。
Wordpress functions.php 主题文件后门分析
 kong2016-12-12 15:47:40
上周公司小伙伴给了我一个Wordpress主题让我帮忙审核,漏洞没有发现,但是却发现了这样一个后门:
 125    1 2 3 4 5 6 7 8 9 10 下一页 尾页

小组Security交流群: 199852440
关注网络攻防小组微信公众号
每日精选文章推送

新浪微博