摘要： 参考：https://zhuanlan.zhihu.com/p/267651205 一：用于签名的哈希值的计算：在使用私钥计算一笔交易的签名内容时，先要对交易结构的相关数据以及链id(chainId)进行哈希，然后再使用私钥对哈希结果进行签名得到签名结果(签名结果包含R, S, V3个字段)。该哈希 阅读全文

摘要： 领导下招聘kpi了 没办法 只能到处捞人了 招SDL安全工程师、安全开发、移动安全薪资：20k~40k工作地点：北京西二旗公司是互联网甲方公司 安全地位很高 不存在被业务线“欺负”的情况 岗位要求的话其实和网上的差不多 都是些基操 没啥好写的 待遇也还行 反正比一般的互联网给的多 别的没啥好说的了 阅读全文

摘要： 事情的起因是公司业务线上采用了开源BI框架Redash进行二次开发做了一个监控系统，Redash是使用的Python的知名web框架Flask，且在github上有16.9k星。在走安全测试流程时，由于之前对paython的代码审计并不了解，所以我在安全测试的时候主要注重接口问题登录、找回密码等业务 阅读全文

摘要： <iframe src="javascript:alert(/xss/)" width="0" height="0" 阅读全文

摘要： 脚本如下 每次都得修改event_id,域名也得改？ 修复方案：turn off "scrap source code" in Sentry settings. import requestsimport reif __name__ == "__main__": s = "https://a8d72 阅读全文

摘要： 今天看到一篇公众号文章写的关于中间件漏洞的整理，里面有部分是我不知道的，转载一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远 阅读全文

摘要： 1.Spring Security OAuth2.0 (CVE-2016-4977) 这个洞是由于Spring Security OAuth2.0的功能，在登录成功之后由于response_type不存在显示在Whitelabel Error Page上存在EL表达式注入漏洞 测试地址：http:/ 阅读全文

摘要： 今天刚到的一个表 贴上来 之后慢慢完善 端口号 端口说明(服务) 攻击技巧(对应的漏洞) 21/22/69 ftp/tftp：文件传输协议 爆破嗅探 溢出；后门 22 ssh：远程连接 爆破OpenSSH；28个退格 23 telnet：远程连接 爆破嗅探 25 smtp：邮件服务 邮件伪造 53 阅读全文

该文被密码保护。 阅读全文

摘要： CVE-2016–3714： 闲着没事突然想起这个洞来，借用vulhub复现一下 poc有很多：https://github.com/ImageTragick/PoCs 我用的 push graphic-contextviewbox 0 0 640 480fill 'url(https://127. 阅读全文