登陆 注册
  • 制作HackCube中的坎坎坷坷

    小威小威 2019-10-01

    初试HackCube由于自己对于无线电方面的信息安全的热爱。在中秋放假之前自己按照360无线电无线电研究院的帖子DIY了一个hack cube。这个hack cube我只使用了其中的一部分,很多部分我都没有DIY。主要还是不是很感兴趣。包括里面的NFC,2.Gh我都没有,我只为了研究1Ghz以下的频段。在接下来的文章中,我将会从开始电路焊的连接,程序烧写,测...

  • “净网2019”打击网络色情,实录渗透某成人“抖音”

    小威小威 2019-07-11

    起因经排查发现该app为成人版"抖音",响应国家净网行动,坚决打击非法传播传播淫秽物品行为!经过下载该app,并对其进行测试。使用BurpSuite抓包,环境为:夜神模拟器(安卓4)+Xpose框架+Just trust me 框架发现该app是从某web地址:www.xxxxx.com的接口回调过来的。排查web资产域名注册信息Ps:这...

  • CVE-2019-2725/CNVD-C-2019-48814终章——报文回显

    小威小威 2019-06-09

    前言不知道有没有人用过一款工具,是shack2写的shack2这是一款很神奇的工具。神奇在运行它可以得到回显且能找到正确的webapp发布路径,目前已知的xmldecoder的exp一般都是写webapp默认路径。当用户安装时更改了路径,由于路径问题,那些exp甚至一键化脚本/工具均会失效。而这个工具完美解决了这些痛点。当前应用路径命令回显那么这款工具实现的...

  • 从一次开发漏洞看shiro的正确使用

    小威小威 2019-06-03

    事情的起因是帮班级开发了一个管理平台,其中的权限校验部分使用了shiro。上线后有一个同学发现了一个漏洞,可以造成任意用户登录,绕过Api的身份验证。我们在使用shiro进行身份认证时,需要根据自己的需求实现Realm,实现doGetAuthentication(用户身份认证信息)以及doGetAuthorizationInfo(用于权限校验信息)。问题代码...

  • 如何将XSS漏洞从中危提升到严重

    小威小威 2019-05-24

    当你在提交一个XSS漏洞之前,应该想办法寻找一切可以利用它来提高严重性的办法。我的报告中记录了时下流行的平台,如Wordpress和Drupal的一些武器化的javascript Payload。并且我将在接下来的几周内添加更多内容。就像往常一样,我每天都会从Twitter的推送中看到XSS漏洞未充分发挥最大危害的文章。今天也不例外,我不想点名批评,我们暂且...

1
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net