Web安全

今年先知大会上p牛分享了一些关于GraphQL安全的内容,我正好有使用GraphQL,于是想写一些我对GraphQL安全的一些理解和看法,和@gyyyy 联手写了这篇文。
上次我们分析了一下zzcms 8.2版本的一些漏洞,但是很快8.3版本就推出更新了,但是在更新不久,就有新的漏洞爆了出来,那就跟随大师傅们的脚步学习一下。有关8.2版本的分析在我之前发的文章。
最近的tjctf2018挺不错的,许多新颖的题目,题目难度分层恰当,有难有易,下面是这次的Web专栏writeup。
承接上文,将翻译原作者剩下的部分,包括更加深入的投毒案例、防御的方法和结论。
在本文中,我将向大家展示如何通过使用深奥的web特性来将它们的缓存系统转变为漏洞利用代码(exploit)投放系统,每一位错误访问他们主页的用户都是这种攻击的目标。
最近发现了一道新题,发现是xss->ssrf->redis的,觉得很有趣,于是做了一下,记录一下writeup。
故事始于一个域名collaborate-corp.amazon.com,它貌似是一个内部协作系统。 从网页下面的copyright来看,这个系统是用开源项目Nuxeo构建的。 它是一个非常庞大的Java项目,起初我就想提高一下Java审计技能。
本文用来归纳并深入理解xml语言及其在web环境中可能存在的安全隐患。
Cyberry靶机渗透测试。
最近在进行一些培训讨论,在讲解一道Jarvis OJ上的Web题时,引发了一些思考。