某java客服系统后续代码审计

就是上次某个BC系统的客服,在实战过程中找出了heapdump泄露,任意文件读取,SSRF,SQL注入,fastjson反序列化。漏洞挺多的,继续审。1.filter反序列化需登录客服后台。/apps/contacts/dis打开这个页面,F12就很容易发现此页面和反序列化有关filter=rO0A,很明显的序列化流base64头,看代码 public ModelAndView dis(ModelMap map, HttpServletRequest request, @Valid String itemid, @Valid String ckind, @Valid String[] id ...

黑客滥用苹果公司企业应用程序 盗取 140万美元的加密货币

为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所,诱使其投资,然后被骗走现金。在通过约会应用程序获得受害者的信任后,骗子开始讨论加密货币投资问题。然后,他们被引导到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管 ...

2021-10-17 02:14:35 0 89

T00ls小伟案件的警钟【T00ls法律讲堂第四十七期】

时间过的很快,2017年12月6日仿佛就发生在不久之前,我想不少老人都知道,那一天我们T00LS群里小伟因为涉嫌犯罪在马来西亚吉隆坡被中国警方抓获了,之后本人徐昊律师成为了案件第一被告小伟的律师,陪伴他走到了最终判决。今天写这篇文章,一是给小伟接风(快改造回来了),二是给大家普法(这算是辩护比较成功的一起案例) ...

2021-10-15 19:34:33 20 1357

破解Web应用防护新难题 腾讯新一代WAF产品发布会即将召开

0day漏洞突然爆发,放下筷子就得去应急响应;应用遭遇暴力破解攻击,只有频率限制一种办法,松了风控抱怨,严了业务投诉;双十一货物被一抢而空,结果事后却收到大量退货……这些场景对于Web安全运维人员来说再熟悉不过。随着数字化转型的深入,针对Web应用的攻击越来越频繁。目前信息安全攻击大约75%都发生在Web应用层而 ...

2021-10-13 21:31:41 0 286

腾讯安全亮相2021年国家网络安全宣传周 筑牢产业数字化升级安全底座

金秋长安,网安国安。10月8日,为期7天的2021年国家网络安全宣传周网络安全博览会(以下简称“博览会”)在西安国际会展中心正式拉开序幕。作为互联网安全领先品牌,以及本届宣传周的主要参展单位,腾讯安全将继续向社会各界展示其护航18大行业、助力上万家企业客户安全上云的实践成果。据了解,网络安全宣传周一直以来聚焦 ...

2021-10-09 15:55:54 0 288

亚马逊Twitch被黑客入侵 大量源代码和财务细节被公布

据VGC报道,这些文件是由一个匿名黑客泄露给4chan的。这个人说,这次泄漏是为了"促进在线视频流媒体领域的更多破坏和竞争,社区是一个令人作呕的有毒污水池"。VGC已经证实,黑客的文件在4chan上是公开的。Twitch内部的一位匿名人士进一步证实,这些文件是真的。根据黑客和已经开始检查文件的Twitter用户的说法,泄露的数据 ...

2021-10-08 15:42:35 1 395

微软表示MSHTML漏洞在对有针对性的攻击中被利用

关于 CVE-2021-40444(CVSS 评分:8.8)的详细信息于 9 月 7 日首次出现,此前 EXPMON 的研究人员向微软发出了关于MSHTML(又名 Trident)中的远程代码执行漏洞,这是现已不再支持更新的 Internet Explorer 的专有浏览器引擎,在 Office 中用于在 Word、Excel 和 PowerPoint 文档中呈现 Web 内容。微软表示,自那次披露以来 ...

2021-09-30 09:11:28 0 301

热门活动

T00ls专家

Rices

荣誉会员

文章154篇,精华5篇

1

lyxhh

版主

文章13篇,精华4篇

2

ph12h0n

荣誉会员

文章39篇,精华3篇

3

backlion

注册会员

文章31篇,精华3篇

4

anhkgg

注册会员

文章35篇,精华2篇

5

宝宝

注册会员

文章54篇,精华2篇

6

lostwolf

荣誉会员

文章148篇,精华2篇

7

遇见孤独

荣誉会员

文章51篇,精华2篇

8

panda

荣誉会员

文章41篇,精华2篇

9

陆羽

元老核心

文章95篇,精华2篇

10

最新精华

渗透测试探索低版本.Net反序列化实现Exchange RCE

# 探索低版本.Net反序列化实现Exchange RCE## 0x10 起因近期在 ...

2020-10-20 10:23:31 3 961

渗透测试Spring Boot 相关漏洞利用 Check List

> Spring Boot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全 ...

2020-06-06 16:16:41 64 10986

渗透测试Windows内网协议-Kerberos

## Kerberos协议### 简介Kerberos是一种由MIT(麻省理工大学)提 ...

2020-04-15 21:59:32 16 1446

渗透测试这是一篇“不一样”的真实渗透测试案例分析文章

# 0x00 前言本文是由一次真实的授权渗透案例引申而出的技术分析 ...

2020-03-20 18:16:34 80 19539

渗透测试Windows认证原理解析基础入门学习

#### 0x01 前言简介本文借鉴安全界各位大佬所写的Windows认证入 ...

2020-03-17 13:07:21 16 768

Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞

对于dz,我们比较关心的是拿shell,但dz的东西想拿shell太难太难了,上一篇文章的末尾铺垫了下,所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。这个漏洞其实也是老漏洞,去年大家就已经知道了,是二次写配置文件的漏洞,就是年初《创始人通过后台ucenter拿shell漏洞》([url]http://www.oldjun.com/blog/index.ph ...

Top ↑