WAF 延时分块传输绕过
目前很多WAF都已经支持普通的分块传输检测,可以通过延时分块传输绕过普通WAF检测规则。
WAF HTTP协议覆盖+分块传输组合绕过
HTTP协议覆盖绕过是更换Content-Type类型来绕过WAF的检测,⽬前很多WAF对Content-type类型是⾸要的检测点。
WAF 分块传输绕过
分块传输编码是超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由应用服务器发送给客户端应用的数据可以分成多个部分。
向日葵命令执行漏洞复现
向日葵的简约版和个人版for Windows存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
Windows 系统部署 Metasploit Framework
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
Apache log4j2 远程命令执行漏洞复现(CVE-2021-44228)
Apache Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
跨域资源共享(CORS)漏洞复现
跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。
phpStudy Nginx 解析漏洞复现
2020年9月爆出phpStudy存在Nginx解析漏洞。该漏洞是phpStudy默认使用的Nginx版本是Nginx1.15.11。Nginx在解析文件时,由于错误的配置造成文件以错误的格式执行。
phpStudy后门漏洞复现
2019年9月20日,网上传出 phpStudy 软件存在后门,疑似phpStudy软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。
Windows密码抓取工具
介绍几款优秀的Windows上的密码抓取工具,每个工具都有自己的特点非常实用,欢迎补充。
