XXE漏洞原理及利用
XXE(外部实体注入)是XML注入的一种,普通的XML注入利用面比较狭窄,如果有的话也是逻辑类漏洞。XXE扩大了攻击面。
webgoat http 响应拆分攻击
正常输入的请求中加入恶意代码,控制HTTP响应header中的字符(Location,Set-Cookie),注入一个 %0d%0a,可以控制首部,注入两个%0d%0a,可以控制主体, 浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。
DOS+DNS放大攻击工具编写
发送大量的数据包消耗目标主机资源,使其无法正常工作。
CVE-2019-17671:如何查看WordPress未授权文章
该漏洞也许可以允许他人查看WordPress中未授权的文章
SSRF——漏洞利用(二)
SSRF的拓展用法,通过,file,gopher,dict协议对SSRF漏洞进行利用。
SSRF——weblogic vulhub 漏洞复现及攻击内网redis(一)(附批量检测脚本)
SSRF(Server-Side Request Forgery, 服务端请求伪造)利用漏洞可以发起网络请求来攻击内网服务。
基于内存 Webshell 的无文件攻击技术研究
基于 Java 的常用 Web 框架 — SpringMvc,并实现了利用多种不同的技术手段,往内存中注入恶意 Webshell 代码的无文件攻击技术。
如何劫持整个互联网
你可能觉得是个标题党,但是,先别急关闭~~
CVE-2018-14847:一个能修复自己的RouterOS漏洞
一款很知名的软路由的漏洞
WordPress 5.0.0 RCE分析(CVE-2019-6977)
此漏洞通过路径遍历和本地文件包含漏洞的组合实现WorePress核心中的远程代码执行,据漏洞发布者ripstech透露,此漏洞已在WordPress核心中存在6年以上。