摘要:
参考:https://zhuanlan.zhihu.com/p/267651205 一:用于签名的哈希值的计算:在使用私钥计算一笔交易的签名内容时,先要对交易结构的相关数据以及链id(chainId)进行哈希,然后再使用私钥对哈希结果进行签名得到签名结果(签名结果包含R, S, V3个字段)。该哈希 阅读全文
摘要:
领导下招聘kpi了 没办法 只能到处捞人了 招SDL安全工程师、安全开发、移动安全薪资:20k~40k工作地点:北京西二旗公司是互联网甲方公司 安全地位很高 不存在被业务线“欺负”的情况 岗位要求的话其实和网上的差不多 都是些基操 没啥好写的 待遇也还行 反正比一般的互联网给的多 别的没啥好说的了 阅读全文
摘要:
事情的起因是公司业务线上采用了开源BI框架Redash进行二次开发做了一个监控系统,Redash是使用的Python的知名web框架Flask,且在github上有16.9k星。在走安全测试流程时,由于之前对paython的代码审计并不了解,所以我在安全测试的时候主要注重接口问题登录、找回密码等业务 阅读全文
摘要:
<iframe src="javascript:alert(/xss/)" width="0" height="0" 阅读全文
摘要:
脚本如下 每次都得修改event_id,域名也得改? 修复方案:turn off "scrap source code" in Sentry settings. import requestsimport reif __name__ == "__main__": s = "https://a8d72 阅读全文
摘要:
今天看到一篇公众号文章写的关于中间件漏洞的整理,里面有部分是我不知道的,转载一下, https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远 阅读全文
摘要:
1.Spring Security OAuth2.0 (CVE-2016-4977) 这个洞是由于Spring Security OAuth2.0的功能,在登录成功之后由于response_type不存在显示在Whitelabel Error Page上存在EL表达式注入漏洞 测试地址:http:/ 阅读全文
摘要:
今天刚到的一个表 贴上来 之后慢慢完善 端口号 端口说明(服务) 攻击技巧(对应的漏洞) 21/22/69 ftp/tftp:文件传输协议 爆破嗅探 溢出;后门 22 ssh:远程连接 爆破OpenSSH;28个退格 23 telnet:远程连接 爆破嗅探 25 smtp:邮件服务 邮件伪造 53 阅读全文
摘要:
CVE-2016–3714: 闲着没事突然想起这个洞来,借用vulhub复现一下 poc有很多:https://github.com/ImageTragick/PoCs 我用的 push graphic-contextviewbox 0 0 640 480fill 'url(https://127. 阅读全文