显示不全请点击全屏阅读 今天看到红黑有个文章署名作者是SysShell发的一个这个漏洞(不知道是不是原创),文笔很简洁啊,就给了一个测试的URL,我也很久没写原创文章了,最近一直在写源代码审计系统,预...
Seay信息安全博客
Seay信息安全博客
Seay信息安全博客
代码审计:逐浪CMS(ZOOMLA!CMS)详细漏洞挖掘过程
显示不全请点击全屏阅读 0X00 综述 逐浪CMS是基于.net编写的一款CMS,号称还是军工单位也采用过这套CMS,更号称开源,那天下了他所谓的“源代码“下来,纠结了,页面除了aspx文件,连cs和...
Seay信息安全博客
代码审计:phpcms 2007 onunload.inc.php的update型注入附
显示不全请点击全屏阅读 博主PS:代码审计的工具马上要出来了,完全重构这个东西,完全重写代码,高精确度自动白盒审计漏洞,代码高亮,代码调试,函数查询,变量/函数追查,还有很多实用的功能,之前的垃圾就不...
Seay信息安全博客
漏洞预警:apache mod_rewrite模块命令执行详细分析
显示不全请点击全屏阅读 该漏洞由安全宝内部安全研究员分析。分析如下: 最近看到很多安全媒体都在介绍”Apache日志文件漏洞,可能执行任意代码”, 作为安全研究人员看到”执行任意代码”,...
Seay信息安全博客
安全科普:跨域资源共享(CORS)安全性浅析 |
显示不全请点击全屏阅读 0×00 背景 提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如在同域内做...
Seay信息安全博客
安全科普:URL Hacking – 前端URL猥琐流思路 |
显示不全请点击全屏阅读 0x00 目录 0x01 链接的构成 0x02 浏览器算如何对url进行解析的 0x03 链接真的只能是这样固定的格式么? 0x04 链接真的是你看到的那样么? 0x01 链接...
Seay信息安全博客
运维科普:Nginx优化指南-战斗准备(翻译) |
显示不全请点击全屏阅读 英文原文:Battle ready Nginx – an optimization guide 大多数的Nginx安装指南告诉你如下基础知识——通过apt-get安...
Seay信息安全博客
安全科普:Waf实现扫描器识别 彻底抵挡黑客扫描
显示不全请点击全屏阅读 目前安全测试的软件越来越多,也越来越强大,越来越多的人成为,今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。 因为公司的三大业务之一就有一个云...
Seay信息安全博客
安全科普:WebGoat教程解析 HTTP Response Splitting漏洞
显示不全请点击全屏阅读 发现很多人在学习WebGoat上的HTTP Splitting教程之后有些疑惑,所以我也就在这里讨论一下这个问题。 HTTP Response Splitting翻译为HTTP...
Seay信息安全博客
网络架构师:各大型网站架构分析收集 及大型高
显示不全请点击全屏阅读 1. PlentyOfFish 网站架构学习 http://www.dbanotes.net/arch/plentyoffish_arch.html 采取 Windows 技术...
