文章总结: 某软报表产品存在SQL注入内存马漏洞,影响FineReport11.5.4及以下版本等多个产品。攻击者可通过已知数据连接名称注入内存马,使用哥斯拉工
2025-12-2248评论
网络安全文章
[已复现]某软报表export/excelSQL注入内存马
2025-12-2248评论
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
网络安全文章
2025-12-2248评论
网络安全文章
存储桶解析漏洞
文章总结: OSS存储桶存在解析漏洞,攻击者可通过response-content-type参数强制浏览器将非HTML文件解析为HTML,导致XSS攻击。当访问
2025-12-2271评论
网络安全文章
威胁情报|SpringCloudGateway代码执行漏洞
文章总结: SpringCloudGatewayServerWebFlux存在高危代码执行漏洞CVE-2025-41243,攻击者可利用actuatorrout
2025-12-2242评论
网络安全文章
安服|攻防演练|近源社工
文章总结: 本文分享了一次医院近源社工渗透测试的实战经验,包括使用万能钥匙获取WiFi、猜测简单密码进入系统、应对USB设备限制、直接连接网线进行内网扫描、利用
2025-12-2227评论
网络安全文章
样本分析|伪咪咕视频的银狐样本分析
文章总结: 这篇文章详细分析了一个伪装成咪咕视频的银狐恶意软件样本。该样本通过读取同目录下的图片文件并在内存中执行恶意代码,创建隐藏批处理脚本实现持久化,收集系
2025-12-2267评论
网络安全文章
SRC中自动化查找目录遍历获取赏金
文章总结: 本文介绍了在SRC活动中自动化查找目录遍历漏洞的方法,使用Burp插件OneScan和RouteVulScan,通过在每个目录后添加斜杠匹配Inde
2025-12-2231评论
网络安全文章
怎么开始挖SRC?
文章总结: 本文指导如何开始挖SRC漏洞,建议善用AI工具但保持独立思考。实力强的同学可学习操作系统和浏览器底层漏洞,掌握架构、工具和CVE复现;实力一般的同学
2025-12-2233评论
网络安全文章
Dify/Next.jsRCE漏洞复现
文章总结: 本文介绍了Dify/Next.jsRCE漏洞复现过程,涉及CVE-2025-55182和CVE-2025-66478两个漏洞。文章详细列出了受影响的
2025-12-22115评论
网络安全文章
利用雷池WAF捕获0dayPOC
文章总结: 文章介绍了如何搭建Flask指纹网站并利用雷池WAF捕获0dayPOC的完整流程。作者提供了详细的Flask应用搭建代码和配置方法,然后展示了如何安
2025-12-2245评论
网络安全文章
漏洞挖掘:众测src测试姿势总结
文章总结: 这篇文章总结了众测SRC测试中的常见漏洞挖掘姿势,包括支付漏洞、文件上传、XSS、验证码绕过、未授权访问、高危组件、越权和并发等类型漏洞的测试方法与
2025-12-227评论
网络安全文章
记录一次有意义的爬山之旅
文章总结: 这篇文章记录了作者从懈怠状态到参加爬山活动的过程,描述了从早上六点到晚上八点的天涯海角八仙墩之旅,以及与朋友舟哥的快乐经历,表达了人生就是一场体验的
2025-12-2239评论
网络安全文章
小程序的成名之作
文章总结: 这篇文章详细描述了针对小程序的渗透测试过程,包括利用账号滞空+默认密码接管管理员账户、发现存储桶ak/sk漏洞、爆破手机号加默认密码获取大量用户数据
2025-12-2224评论
网络安全文章
初探python栈帧逃逸
文章总结: 文章介绍了Python生成器的概念和栈帧逃逸技术。通过生成器的gi_frame属性和f_back方法,可以获取沙箱外的全局符号表,从而突破沙箱限制。
2025-12-2227评论
网络安全文章
ApacheActiveMQRCE漏洞复现(CNVD-2023-69477)
文章总结: ApacheActiveMQ存在远程代码执行漏洞CNVD-2023-69477,影响5.18.3以下多个版本。该漏洞源于默认开放的61616端口未对
2025-12-2242评论
网络安全文章
SharpADWS–滥用ADWS协议枚举ActiveDirectory
文章总结: SharpADWS是一个通过ADWS协议而非直接LDAP来枚举和操作ActiveDirectory的红队工具。它利用ADWS协议在TCP9389端口
2025-12-2238评论
网络安全文章
csexecute-assembly内存加载SharpWeb导出浏览器
文章总结: 本文介绍了使用SharpWeb工具通过CobaltStrike的execute-assembly命令进行内存加载执行浏览器数据导出的方法。作者比较了
2025-12-2243评论
网络安全文章
邮件安全相关的协议
文章总结: 本文详细介绍了四种邮件安全协议:SPF用于验证邮件发送者IP授权,DKIM通过数字签名验证邮件真实性,DMARC结合SPF和DKIM实现更严格的安全
2025-12-2246评论
网络安全文章
网络安全从业者如何走得更远?
文章总结: 这篇文章介绍了一个网络安全从业者副业圈子,强调商业敏锐度比技术深度更重要。作者提出了搞钱四差定律(信息差、认知差、执行差、竞争差)帮助判断机会,并提
2025-12-2228评论
网络安全文章
2025.11.26-威胁情报|GeoServerGetMapXXE注入漏洞
文章总结: GeoServerGetMap组件存在严重的XXE注入漏洞,目前已有POC和漏洞分析。该漏洞披露于2025年11月25日,危害等级被评定为严重。用户
2025-12-2238评论
网络安全文章
威胁情报|AstrBotJWT认证绕过漏洞
文章总结: AstrBot开源AI聊天机器人框架的旧版本(≤3.5.17)存在远程代码执行漏洞(CVE-2025-55449),由于硬编码JWT签名密钥,未授权
2025-12-22162评论
网络安全文章
威胁情报共享群
文章总结: 文章介绍了一个威胁情报共享群,作者创建了钉钉和飞书群,提供CVE漏洞情报、高危漏洞情报、天气预报、TenableCVEs和绿盟漏洞情报等多种推送服务
2025-12-2234评论
网络安全文章
安服|社工项目|邮箱钓鱼演练实施
文章总结: 这篇文章详细介绍了使用gophish工具进行邮箱钓鱼演练的完整流程,包括工具部署、邮件配置、模板创建、目标设置和活动启动等关键步骤。文章提供了两种邮
2025-12-2234评论
网络安全文章
安服|社工项目|WiFi钓鱼
文章总结: 本文介绍了WiFi钓鱼技术及两种主要工具wifiphisher和fluxion的使用方法。wifiphisher提供四种钓鱼模式,包括网络管理器连接
2025-12-2251评论
网络安全文章
样本分析|2025年某黑猫样本分析小记
文章总结: 这篇文章分析了2025年10月发现的一个黑猫恶意软件样本,该样本采用白加黑技术躲避杀毒软件检测,通过解密文件执行动态代码,具备进程注入、剪切板监测、
2025-12-22158评论
网络安全文章
资产发现之垂直关联
文章总结: 文章介绍了资产发现中的垂直关联技术,即从根域查找子域的过程。作者测试了多种被动和主动子域名发现工具,其中Amass在被动查找中发现最多子域名(692
2025-12-2226评论