Web安全

Fooying老师与破壳学院历经240天反复打造的WEB安全知识系统化课程,7章57节751分钟,50+视频课程配套破壳学习资料和课堂笔记,30+个课后实战练习,通过“陪伴式”教学服务帮助你更加轻松的加深知识记忆,让你的学习效率提升约60%,帮助你在挖漏洞时施展更全面的技术知识。
今天看到在群里看了这篇文章Discuz!ML v.3.X Code Injection Vulnerability,因为涉及到dz这一通用论坛架构,所以我饶有兴趣的跟进去看了下,其实这个dz多语言版在国内影响不是很大,但是上文没有给出漏洞成因,于是就有了这篇分析文章。
招聘
平安银行股份有限公司是总部设在深圳的全国性股份制商业银行,近年来,平安银行多次荣膺各类重要奖项。在2018年度亚洲银行家中国国家奖项评选中,荣获“中国最佳手机安全项目”奖项
Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台,用于构建像“社交网络”这样的互联网社区。
在本文中,我们将与大家分享如何利用PHP字符串解析函数绕过IDS/IPS以及应用防火墙规则。
本文介绍了如何在非常流行的电子商务(eCommerce)解决方案Magento中(版本<=2.3.1),利用HTML过滤漏洞以及Phar反序列化漏洞构造较为严重的漏洞利用链。未授权攻击者可以滥用这条漏洞利用链来完全控制特定的Magento平台,重定向用户的付款过程。
近日,360CERT 监测到致远 OA A8 系统存在远程 Getshell 漏洞,已经被在野利用。致远OA A8 是一款流行的协同管理软件,在各中、大型企业机构中广泛使用。
笔者以CVE-2017-3506为起点,到近期的CVE-2019-2725及其绕过来谈一谈这两年weblogic在XMLDecoder上的缝缝补补。
2019年6月11日,RIPS团队在团队博客中分享了一篇MyBB <= 1.8.20: From Stored XSS to RCE,文章中主要提到了一个Mybb18.20中存在的存储型xss以及一个后台的文件上传绕过。
接下来,我们将讨论利用反射型或存储型XSS漏洞的各种可能性,并绕过我们与目标站点之间的XSS过滤器或防火墙。而在我们看来,其中一种最为有效的绕过方法就是利用类似self、document、this、top或window这样的全局变量。