JavaScript 库高危漏洞致数百万应用面临代码执行攻击风险
漏洞概述广泛使用的 JavaScript form-data 库近日曝出高危安全漏洞(CVE-2025-7783),可能导致数百万应用程序面临代码执行攻击风险。该漏洞源于该库使用可预测的 Math.r
阅读全文原创 | 浮生若梦,逆天成仙
在浩渺的仙侠世界里,《仙逆》宛如一颗璀璨的星辰,以其跌宕起伏的情节、深刻的情感羁绊和对人性的细腻刻画,深深吸引了我。这部国产动漫不仅展现了绚丽的仙侠画卷,更以其独特的魅力,让我在观剧后久久沉浸其中,难
阅读全文清华大学招聘漏洞挖掘工程师
清华大学招聘漏洞挖掘工程师和漏洞挖掘博士后(薪酬面议,base北京)浪师父认为:稳定、体面和福利好的工作到哪里找:与清华大学签订正式合同,工程师序列职工,在清华大学校内工作,办理清华大学工作证,享受清
阅读全文原子级 macOS 信息窃取程序升级:新增后门实现持久化控制
臭名昭著的 Atomic macOS Stealer(AMOS,原子级 macOS 窃取程序)恶意软件近期完成危险升级,全球 Mac 用户面临更严峻威胁。这款与俄罗斯有关联的窃密程序首次植入后门模块,
阅读全文护网 | Nacos攻击面、配置文件攻防思路及技巧
0x01 前言 当渗透测试遇到成百上千的Nacos节点,你会怎么做?99%的人只会盯着RCE漏洞,却忽略了真正的漏洞利用点——配置文件!笔者亲历证明:集群环境下配置分析的漏洞深度利用危害极高。本文揭秘
阅读全文护网 | xxl-job漏洞综合利用工具
这次团队在某市州护网,分享一点实战心得,这个工具值得大家收藏,相信浪师父。声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!0x01 工具介绍 xxl-job-attack一款针
阅读全文浅谈SSO认证原理及常见安全问题
前言在一次测试过程中,遇到了一个公司的应用全部采用SSO登录的情况,所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应
阅读全文Jeecg-boot常见漏洞汇总
前言jeecg-boot漏洞笔记记录一下,大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给出来了,基本就是我的笔记。如果,有不对的可以指正一下,一起学习。jeecg-boot介绍JeecgB
阅读全文原创 | 给徒弟们的一封信!
徒弟们,我们聊聊未来!时光荏苒,转眼间我们一起走过了三年的时光。看着你们从青涩懵懂逐渐成长为如今的模样,我的心情无比复杂。今天,我想和你们好好聊聊,关于未来,关于学习,关于人生。先说说学习这件事吧。
阅读全文Cdp协议深度应用Web渗透加解密
渗透测试与加解密作为一个苦逼的安服仔,在不断接收全国各地的奇奇怪怪的安服项目的洗礼后,这些奇奇怪怪项目一开始只是简单的web加解密签名,再到小程序加解密,最后是APP的加解密。有些时候会真的很疑问,这
阅读全文DES 加密解密实现之旅
1. 概述本文将记录从某次渗透实战登录遇到的des加密,分析 des.js 和 login.jsp 文件到成功实现加密解密功能的全过程。通过这一过程,不仅深入理解了 DES 加密算法的实现细节,还成功
阅读全文shiro反序列化漏洞原理分析
前言:本文不包含CB链分析,只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析:序列化过程:1.调用convertPrincipalsToBytes方法并传递数组类型的实例accountPrinci
阅读全文2025年“净网”“护网”专项工作部署会召开
2025年“净网”“护网”专项工作部署会20日在京召开。会议强调,要坚决贯彻落实党中央决策部署,按照公安部党委要求,坚持以打开路、生态治理、主动防范、合成作战,始终保持严打高压态势,依法严厉打
阅读全文使用分支对抗进行webshell bypass
前言对于webshell免杀来说,类绕过是最有效果且不易被检测出来的,那如果我们对类进行操作,在类里面加入一些算法和混淆代码,让代码逻辑变得十分混乱,不易读,甚至读不懂,但是却能够执行命令,可以rce
阅读全文罚单|多家银行出现网络安全与数据安全问题
06月18日 17:24 广东6月17日,中国人民银行辽宁省分行对部分金融机构的网络安全与数据安全问题进行了处罚。此次涉及的处罚决定包括辽银罚决字〔2025〕7-8号、9-811号和12-13号,主要
阅读全文php代码审计篇 - 信呼OA 前台注入
信呼OA v2.6.7 SQL注入漏洞系统介绍信呼,免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等,让每个企业单位都有自己的办公系统。官网:http://www.rock
阅读全文php代码审计篇 - Dedecms 后台任意代码执行分析
序言之前突然有想法打算拿一个dedecms的cnvd高危证书于是开始了下面的审计。下面这两个漏洞都是围绕makehtml_homepage.php文件中 SetTemplet()方法和SaveToH
阅读全文权限提升之通配符注入
介绍这是一种有趣的老式的UNIX黑客技术,可能很多人都没听过,一些UNIX工具(tar、chown)可能导致整个系统受损通配符通配符是一个字符或一组字符,可以用作某些范围/类别的字符的替换。在执行任何
阅读全文总结一些文件上传的绕过方法
本地JS绕过禁用JS或删除JS语句将上传文件的后缀名从 .php 改为 .jpg,然后通过 Burp 抓包将 .jpg 改回 .php黑名单绕过尝试使用不在黑名单中的后缀名相似后缀名绕过语言等价扩展名
阅读全文原创 | Web渗透测试信息收集实战干货
本原创连载旨在帮助新手能快速上手红队攻击技能,有些案例都是一些简单的入门,对于有经验的红队攻击手,仅作为参考。不足之处,请后台留言给浪师父,谢谢!在Web渗透测试中,信息收集是关键的一步,它能帮助我们
阅读全文原创 | 红队实战:从资产信息到网络深度挖掘的进阶之路
在网络安全领域,红队攻击队扮演着至关重要的角色。他们通过模拟真实攻击,帮助企业发现潜在的安全漏洞,提升整体的安全防护水平。而在这个过程中,企业资产信息收集仅仅是第一步,如何基于这些信息深入挖掘目标单位
阅读全文红队实战:企业资产信息收集的那些事儿
在网络安全领域,红队攻击是一种模拟真实攻击场景的测试手段,旨在帮助企业发现安全漏洞并提升防御能力。而在红队攻击中,信息收集是整个攻击流程的起点,也是决定攻击成败的关键环节。今天,我就来聊聊红队攻击中的
阅读全文安全:一场持续的对抗之旅
在数字化浪潮席卷全球的今天,网络安全已不仅是技术领域的一个热门词汇,更是关乎个人隐私、企业经济、乃至国家安全的重要基石。安全是一个持续对抗的过程,这句话精辟地概括了网络安全领域的核心特征。本文将通过真
阅读全文互联网安全的核心:数据安全不容忽视!
在数字化时代,互联网已经渗透到我们生活的每一个角落,从购物、支付到社交、办公,数据的流动无处不在。然而,数据安全问题也日益凸显,成为互联网安全的核心议题。今天,我们就来深入探讨一下数据安全的重要性,并
阅读全文近期网络安全处罚案例汇总
某公司违反《网络安全法》被郑州市网信办行政处罚近期,郑州市网信办工作中发现,我市某公司未履行网络安全保护义务,引发网络安全事件。郑州市网信办依据《网络安全法》对该公司作出责令改正,给予警告,并处以人民
阅读全文【攻防实战】渗透测试JS接口Fuzz场景研究
来自船山院士网络安全团队核心成员SRC大佬:月 的原创。渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令、爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键
阅读全文端午出行不 “掉坑”,网上“安全符” 请收好!
各位道友,端午节到了,愿你们在这个小长假里,好好放松一下,调整好状态,回来继续一起加油干!祝大家端午节快乐,身体健康,万事如意!端午出行防骗指南请查收端午出行,防范在心端午佳节马上就到啦,大家是不是已
阅读全文小程序渗透记录:通过细节挖掘漏洞的艺术
来自团队核心成员SRC大佬:月 的原创近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分
阅读全文