主要关注网络安全方面的技术、知识和趋势,旨在为网络安全行业的发展做出贡献。
前言本文将介绍一些奇怪情况下若依系统恰分druid的场景权限校验回显500该回显不是严格意义上服务器回显500,与之前遇到的回显401弱校验类似拼接了/druid/login.html一看图标,尝试若依弱口令 123456 直接进去了进系统捡漏硬恰有时候/druid/login.html界面是无法直接访问到的,进行了权限校验,要登录系…
以Docker+K8s为代表的容器技术得到了越来越广泛的应用,从安全攻防的角度,攻击者已经不再满足于容器逃逸,进而攻击整个容器编排平台,如果可以拿下集群管理员权限,其效果不亚于域控失陷。在云原生安全攻防的场景下,甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具,带你一起去了解云原生安全。1、云原生攻防靶场Metarget 是一个脆弱基础设施自动化构建框架,主要用于快速、自动化搭建从简单到复杂的脆弱云原生场景。…
该互联网厂商使用了多种黑客手段,实现对用户手机的提权、隐私信息收集、应用防卸载、应用长期驻留后台等违法违规行为;研究员警告,这些是此刻正发生在数以亿计手机上的真实案例,且对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说,他们仍处于危险之中。有知名互联网厂商持续挖掘新的安卓 OEM 系统相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞。原文:…
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,工具采用C#开发,直接操作TCP会话来进行Socket发包与HTTP交互,极大的提升了发包效率,相比C#自带的HttpWebRequest速度提升2-5倍。支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入。超级SQL注入工具支持注入类型HTTP协议任意位置的SQL注入HTTPS模式S…