全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    记一次奇妙的降价支付逻辑漏洞挖掘之旅

    作者:亿人安全发布日期:2025-03-21 13:54:00

    原文链接:https://forum.butian.net/share/4204字字经典,本文以上帝视角,带你洞察整个主流支付功能背后的逻辑,之后再轻挥衣袖,实现降价支付!漏洞挖掘 逻辑漏洞 一次奇妙

    阅读全文
  • 文章封面

    记一次开源OA组合拳RCE漏洞审计过程

    作者:亿人安全发布日期:2025-03-20 10:43:00

    原文链接:https://xz.aliyun.com/news/17273一、漏洞详情 某开源OA存在前台SQL注入和后台RCE漏洞,可以用SQL注入跑出来后台账号密码,登录后打后台RCE,组合拳达到

    阅读全文
  • 文章封面

    【2025HW招聘】- 河南宁云志来了

    作者:亿人安全发布日期:2025-03-14 17:03:00

    河南宁云志25年国HW招聘前言:2025国家级护网将要开始,我们开启人才筹备计划。此计划旨在为甲方提供高质量安全服务,为师傅们提供稳定可靠的HW项目岗位。公司简介河南宁云志科技有限公司,是一家专注网络

    阅读全文
  • 文章封面

    记一次某大厂csrf漏洞通过蠕虫从低危到高危

    作者:亿人安全发布日期:2025-03-12 15:27:00

    文章首发在:奇安信攻防社区https://forum.butian.net/share/4190本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度初见端倪在上传的头像的点位:

    阅读全文
  • 文章封面

    记一次漏洞挖掘过程中的SQL注入浅浅绕过记录

    作者:亿人安全发布日期:2025-03-11 15:54:00

    文章首发在:先知社区https://xz.aliyun.com/news/170770x00 文章背景日常测试时发现客户网站存在注入,我看着这界面的样子就像是个CMS来的,搜集一会之后确认了,果然是。

    阅读全文
  • 文章封面

    国产 WAF 封神!BAT 力捧,15.6K Star 下零成本 KO 黑产

    作者:亿人安全发布日期:2025-03-10 14:50:00

    在Web攻击日益复杂化的今天,传统基于规则库的WAF(Web应用防火墙)已难以应对新型攻击手段。长亭雷池WAF以其**“智能语义分析算法”和动态防护技术**,重新定义了Web安全防护的边界。根据个人

    阅读全文
  • 文章封面

    Java代码审计 | 一次开源商城系统

    作者:亿人安全发布日期:2025-03-05 11:37:00

    任意文件上传漏洞:管理员后台文件添加位置:数据包:POST /tmall/admin/uploadCategoryImage HTTP/1.1Host: 172.20.10.3:8080User-Ag

    阅读全文
  • 文章封面

    逆向Java反序列化:从漏洞挖掘者的视角拆解CC1链的发现与构造

    作者:亿人安全发布日期:2025-03-04 09:31:00

    前言Apache Commons Collections 是一个开源的 Java 工具类库,属于 Apache Commons 项目的一部分。它提供了许多扩展和增强标准 Java 集合框架的功能,帮助

    阅读全文
  • 文章封面

    沈阳深蓝25HW一轮统招启动!

    作者:亿人安全发布日期:2025-03-03 13:00:00

    愿您的第一次hw从沈阳深蓝开启!2025沈阳深蓝 HW一轮招录(统招)启动! 单位简介沈阳深蓝安全信息科技有限公司是一家专业的安全服务公司,我单位自2020年以公司的形式开展业务,至今已是第六年,因

    阅读全文
  • 文章封面

    年薪154W!真心建议网安人冲一冲新兴领域,工资高前景好

    作者:亿人安全发布日期:2025-03-01 10:00:00

    最近,Deepseek全球爆火让AI技术又一次进入了快速发展期!百度、字节、腾讯等等巨头互联网公司,纷纷接入DeepSeek,加速落地AI应用!这让「大模型应用开发工程师」一跃成为炙手可热的岗位!De

    阅读全文
  • 文章封面

    大一“新生”年入100万+,别人称他天才小火炬

    作者:亿人安全发布日期:2025-02-27 09:38:00

    前言2024网安界跑出一匹引人瞩目的黑马仅用一年挖洞收入突破100万+的百万赏金猎人2024腾讯SRC年榜第一而就在这一年前他仅仅是一个因为挂科留级的大一“新生”他说,他是天才小火炬2024 创造挖洞

    阅读全文
  • 文章封面

    记一次某开源OA白名单后缀限制下巧用系统设计getshell

    作者:亿人安全发布日期:2025-02-26 09:32:00

    原文链接:https://forum.butian.net/share/4132白名单后缀限制下巧用系统设计getshell0x01 路由情况该 OA 的 action 主要是在 webmain 目

    阅读全文
  • 文章封面

    域渗透之cyberstrikelab—Thunder

    作者:亿人安全发布日期:2025-02-25 09:46:00

    文章首发在:先知社区原文链接:https://xz.aliyun.com/news/16753入口机信息收集连上openvpn自动跳转到ThinkPHP页面漏洞发现利用ThinkPHP综合利用工具梭哈

    阅读全文
  • 文章封面

    从deepseek未授权探索clickhouse命令执行

    作者:亿人安全发布日期:2025-02-24 10:35:00

    文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,

    阅读全文
  • 文章封面

    从deepseek未授权探索clickhouse命令执行

    作者:亿人安全发布日期:2025-02-21 08:07:06

    文章首发在:奇安信攻防社区https://forum.butian.net/share/4155探索clickhouse利用方式0x01 简介DeepSeek近期因未授权漏洞事件而引发严重的安全争议,

    阅读全文
  • 文章封面

    顺丰SRC第三届白帽技术沙龙预约开启!

    作者:亿人安全发布日期:2025-02-19 10:46:00

    【全国各省及国际白帽给顺丰SRC发来祝福!】赶紧扫码预约本技术沙龙直播吧!大咖干货分享及80+份豪礼在线等你!【文末福利】参与方式1:转发本文到朋友圈+集赞20个参与方式2:转发本文到200+人以上大

    阅读全文
  • 文章封面

    DeepSeek本地化部署有风险!快来看看你中招了吗?

    作者:亿人安全发布日期:2025-02-19 10:46:00

    2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+Op

    阅读全文
  • 文章封面

    速看!Src 第六期,别浪

    作者:亿人安全发布日期:2025-02-18 10:37:00

    .4202隐雾Src第六期/稳住,别浪2023年开第一期Src培训的时候没想到自己能开到第六期,既然已经第六期了,那就告诫自己“稳住,别浪”我们坚持“一群普通的人做好一件简单的事”1 本期特色10人

    阅读全文
  • 文章封面

    使用分支对抗进行webshell bypass

    作者:亿人安全发布日期:2025-02-17 14:00:00

    文章首发在:先知社区https://xz.aliyun.com/t/17029前言对于webshell免杀来说,类绕过是最有效果且不易被检测出来的,那如果我们对类进行操作,在类里面加入一些算法和混淆代

    阅读全文
上一页