安全研究

Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067)

https://y4tacker.github.io/2024/12/16/year/2024/12/Apache-Struts2-%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%80%BB%E8%BE%91%E7%BB%95%E8%BF%87-CVE-2024-53677-S2-067/#%E5%89%8D%E8%A8%80===============================================================New Edition:=========================

4 天前 15:58 3 97

有哪些方式 可以阻止指定exe进出网络流量

各位t00ls大佬们,在一些特定场景下 需要deny 某个exe程序进出网络流量除了windows 防火墙 netsh 还有其他方式吗?或者 自写程序 要怎样实现类似防火墙的功能 {:6_455:} {:6_455:} {:6_455:}=======================================================================================================

2024-11-19 15:10 25 607
ecology最新补丁讨论
技术讨论 回复1次

ecology最新补丁讨论

<%@ page language="java" contentType="text/html; charset=UTF-8" %><%@page import="com.weaver.formmodel.base.BaseAction"%><%@page import="java.lang.reflect.Constructor"%><%@page import="weaver.general.Util"%><%@page import="com.weaver.formmodel.exception.MobileModeException"%><%@p

2024-7-30 16:49 1 597

分享一个蜜罐积累的ssh爆破字典,用于防范弱口令

分享一个蜜罐积累的ssh爆破字典,用于防范弱口令这个字典是我用蜜罐跑的,绝对是最新的数据字典大家可以用这个字典结合自己的脚本去尝试下自己的服务器,看是否存在弱口令工具开源地址:https://gitee.com/starsky20/HFishHFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知

2024-7-17 16:50 17 442
在Github Action上使用T00ls签到脚本
技术讨论 回复30次

在Github Action上使用T00ls签到脚本

由于我对服务器的依赖程度较低,连博客都是静态的,加之腾讯云函数免费计划有所变更,更不想用云函数来跑签到脚本,所以心生一计用Github Actions来跑脚本。之前有师傅已经做过Actions版的签到脚本了,Google找得到,但是我看国光师傅的脚本多了一个域名扫描,折腾完才发现脚本内对站长之家的域名检测

2024-4-27 14:44 30 1885
Apache Struts2 CVE-2023-50164__
技术讨论 回复4次

Apache Struts2 CVE-2023-50164__

Apache Struts2 CVE-2023-50164________________________________________漏洞描述Struts2是一个流行的Java框架,用于开发企业级Web应用程序。支持动作处理、表单验证、拦截器,以及与其他Java技术的集成。Apache Struts 文件上传漏洞(CVE-2023-50164),未经身份验证的远程攻击者可能会利用该漏洞执行

2024-2-29 14:56 4 1131
求助MySQL delete语句 updatexml报错注入问题? 求助大佬!
技术讨论 回复12次

求助MySQL delete语句 updatexml报错注入问题? 求助大佬!

事情是这样的:被带入的数据库SQL:DELETE FROM polloptions WHERE polloptionid='146640' and updatexml(1,concat(0x7e,substr((select LOAD_FILE('/etc/passwd')),1,31),0x7e),1)-- +' AND tid='18'报错回显:XPATH syntax error: '~root:x:0:0:root:/root:/bin/bash'这个使用updatexml函数 报错注入

2023-10-7 22:16 12 5473

苹果系统ipa安装包导出求助

1、想要导出苹果手机里安装的app安装包,坛子里搜索了一下好像没有搜到类似的贴子,还请各位大神指点一二,很多不是正规app store里下载的app应用,我需要将这个安装包导出,或者应用被删除了不知道还能不能找到原始安装包?2、安卓系统被卸载或者删除的app,原始安装包是否还能在设备里找到导出?

2023-9-26 08:09 22 4795
【重发】车联网安全-总线安全(一)
技术讨论 回复10次

【重发】车联网安全-总线安全(一)

对于车联网比较陌生的小伙伴可能不太清楚总线是什么,这里给大家简单介绍下,总的来说就是车内各个零部件控制,通信的作用:汽车总线(automotive bus)随着汽车各系统的控制逐步向自动化和智能化转变,汽车电气系统变得日益复杂。传统的电气系统大多采用点对点的单一通信方式,相互之间少有联系,这样

2023-8-17 13:29 10 5749
分享一个国外关于NodeJS安全的PDF
技术讨论 回复20次

分享一个国外关于NodeJS安全的PDF

{:6_416:} {:6_416:} 覆盖面相对较全,XSS\CSRF\RCE\安全配置\相关书籍\课程等,但是估计是演讲用的PPT所以自身内容不够细致,还是有可学习之处的。部分内容原文链接https://archive.fosdem.org/2019/schedule/event/testing_nodejs_security/attachments/slides/2965/export/events/attachments/testi

2023-6-14 17:41 20 1536