渗透技巧
利用Google Cloud Identity Platform 中的弱配置
本文为译文,原文链接为:https://blog.appsecco.com/exploiting-weak-configurations-in-google-identity-platform-cbddbd0e71e3与 Amazon Cognito 类似,Go...
S2-062漏洞原理分析
S2-062漏洞形成的原因是struts在处理标签的name属性时,将用户输入当作表达式进行二次解释,导致OGNL表达式注入。 和S2-061/S2-059类似,不过S2-061和S2...
Thrift 序列化协议浅析
动手点关注干货不迷路 ?背景Thrift 是 Facebook 开源的一个高性能,轻量级 RPC 服务框架,是一套全栈式的 RPC 解决方案,包含序列化与服务通信能力,并...
基于AST变化嵌入的实时缺陷预测
原文标题:Just-in-time defect prediction based on AST change embedding原文作者:Zhuang W, Wang H, Zhang X原文链接:https://www.sciencedirect.com/sc...
X-AV Shellcode静态免杀框架
前言这是前几年写的一个小工具,不参加护网了,留着也没用,QWQX-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换she...
通过错误配置的 AWS Cognito 接管 AWS 帐户
前 言本文为译文,原文链接如下:https://notsosecure.com/hacking-aws-cognito-misconfigurations环境背景被测应用程序只有一个登录页面,没有...
隐秘的角落?红雨滴云沙箱带你揭秘CDN隧道木马
概述未知攻,焉知防?随着基于威胁情报的安全产品/服务取得长足的进步和巨大的成功,威胁情报相关的应用价值效果显著,导致了攻击者的相关C2等很容易迅速遭到...
Django order_by SQL注入漏洞分析(CVE-2021-35042)
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测...
【技术干货】CVE-2022-33891 Apache Spark shell命令注入漏洞分析
xxhzz@PortalLab实验室漏洞描述7月18号,Apache发布安全公告,修复了一个Apache Spark中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危...
红队手册
渗透环境 工作环境 工作时全部操作均在虚拟机中完成 虚拟机中不登陆个人帐号,如QQ、微信、网盘、CSDN等 渗透环境、开发环境、调试环境需要分开,从目...