摘要:
1.背景介绍。 ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。 fileserver是一个RESTful API 阅读全文
摘要:
1.漏洞介绍。 Apache ActiveMQ 是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务,集群,Spring Framework 等。Apache ActiveMQ 5.13.0之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序 阅读全文
摘要:
存储型 XSS(Cross-Site Scripting)攻击是一种常见的 Web 应用程序安全漏洞,攻击者在一个网站上注入恶意代码,并将该代码存储在服务器端的数据库中,当其他用户访问该网站的页面时,恶意代码将被执行,从而达到攻击的目的。 攻击者通常会在一个输入框中输入恶意脚本,例如 JavaScr 阅读全文
摘要:
漏洞详解: Reflected型XSS攻击是由于某些应用程序在处理输入时没有对输入进行过滤和验证,导致攻击者可以通过构造包含XSS攻击载荷的URL,从而向应用程序中注入恶意脚本代码。当用户单击包含恶意URL的链接时,恶意脚本代码就会被浏览器执行。 Reflected型XSS攻击通常通过以下三种方式实 阅读全文
摘要:
漏洞详解。 DOM XSS(Cross-site scripting)是一种Web安全漏洞,它利用了浏览器的DOM(文档对象模型)解析机制,通过注入恶意代码来攻击用户。 DOM XSS与传统的反射型或存储型XSS有所不同。在传统的XSS攻击中,攻击者通常在网页的URL或表单字段中注入恶意代码,用户访 阅读全文
摘要:
SQL Injection,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的。结构,从而达到执行恶意SQL语句的目的。 LOW: 代码审计: SQL Injection Source vulnerabilities/sqli/source/low.php <?php //isset() 用于 阅读全文
摘要:
一.原理。 在软件的安全漏洞中,缓冲区溢出(buffer overflow)是最有名的漏洞之一。 缓冲区溢出是指计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总 阅读全文
摘要:
Scapy 是一个用来解析底层网络数据包的Python模块和交互式程序,该程序对底层包处理进行了抽象打包,使得对网络数据包的处理非常简便。该类库可以在在网络安全领域有非常广泛用例,可用于漏洞利用开发、数据泄露、网络监听、入侵检测和流量的分析捕获的。Scapy与数据可视化和报告生成集成,可以方便展示起 阅读全文
摘要:
ADD (加) 语法: ADD 被加数, 加数 加法指令将一个数值加在一个寄存器上或者一个内存地址上。 add eax,123 = eax=eax+123; 加法指令对ZF、OF、CF都会有影响。 AND (逻辑与) 语法: AND 目标数, 原数 AND运算对两个数进行逻辑与运算。 AND指令会清 阅读全文