XSS 也就是大家常说的跨站脚本攻击,利用该漏洞可以执行任意 JavaScript 脚本,RCE 也就是远程名称执行,可以执行任意系统命令。那么如何通过 XSS 漏洞升级到 RCE 漏洞呢?今天分享……
实战|由actuator/health泄露导致的RCE
作者:小乳酸,转载于公众号网络安全之旅。 0x01 前言 现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/info时,都会视…
神兵利器 | 分享个CobaltStrike权限维持插件工具(附下载)
EasyPersistent是一个用于windows系统上权限维持的Cobalt Strike CNA 脚本。脚本整合了一些常用的权限维持方法,使用反射DLL模块可使用API对系统服务、计划任务等常见权限维持方法……
应用安全测试与分析能力指南
转载自数世咨询:https://mp.weixin.qq.com/s/SqKrWM5KpBZGQKHB0lxHTw
APP漏洞挖掘之某款APP开发商通用漏洞的挖掘
0x01 前言 参加某众测项目时,测某APP时,根据信息收集+测试,发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞,此APP本身存在逻辑漏洞与SQL注入漏洞,再通过观察酷传……
持续应用安全(CAS)研讨之:Fuzzing
【编者按】持续应用安全(CAS)是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行……
网络与信息安全管理员(网络安全管理员)三级操作技能考核试题单(原题+环境六道)
三级使用得系统版本及软件和镜像版本见附件图片(考试题目原题+环境镜像)