只言

摘要： 漏洞介绍 近日，Oracle WebLogic Server 远程代码执行漏洞 （CVE-2020-14882）POC 被公开，未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求，结合 CVE-2020-14883 漏洞进行利用，利用此漏洞可在未经身份验证的情况下直接接管 WebLog 阅读全文

摘要： (1) 添加参数 user/info user/info?id=123 (2) hpp 参数污染 user/info?id=1 user/info?id=2&id=1 user/info?id=2,2&id=1,1 (3) 添加.json（如果它是用 ruby 构建的） user/id/1 user 阅读全文

摘要： PhpMyAdmin漏洞利用汇总 phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。其中 阅读全文

摘要： 内网渗透之初识域渗透 0x01 初识域环境 一、什么是域 将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器，域控制器中保存着整个域的用户帐号和安全数据库。 二、域的优点(为什么使用域) 那么域网络结构有什 阅读全文

摘要： ATK&CK红队评估实战靶场（一）的搭建和模拟攻击过程全过程 0x01 前言 本靶机环境是红日团队开源的一个红队实战测试环境，靶机下载地址如下： http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 通过模拟真实环境搭建的漏洞靶场，完全模拟ATK&CK攻 阅读全文

摘要： 通用软件测评之软件产品的信息安全性 软件测评标准概述 计算机软件是计算机应用的核心，其质量的好坏关系到计算机应用系统的成败，软件测评是提高软件质量的一个重要手段，目前我国软件开发、软件测评主要依照标准是《GBT 25000.51-2016系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第5 阅读全文

摘要： 软件测试项目实操指南与过程文档 软件测试分为如下几个阶段 一、测试需求分析阶段 测试需求分析阶段主要工作是获得测试项目的测试需求(测试规格)。 输出产物:《可测试性需求说明书》和《测试规格》 在实际过程中针对软件的安全性测评项目，甲方通常会提供安全功能测试需求，这就需要我们通过需求分析把甲方的安全测 阅读全文

摘要： 通达OA11.6任意文件删除+文件上传组合GetShell 漏洞介绍 通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。 通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程 阅读全文

摘要： CVE-2020-14645 Weblogic远程代码执行漏洞复现 漏洞介绍 今日，Oracle官方发布WebLogic安全更新，其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645)，该漏洞通过T3协议进行利用，攻击者可以实现远程代码执行，进而控制服务器。由于漏洞利用复杂度低 阅读全文

摘要： Vulfocus 复现weblogic_CVE-2020-2883漏洞 漏洞介绍 在Oracle官方发布的2020年4月关键补丁更新公告CPU（Critical Patch Update）中，两个针对 WebLogic Server ，CVSS 3.0评分为 9.8的严重漏洞（CVE-2020-28 阅读全文