Feature:中文文章
@Pikachu

【漏洞预警】Struts(S2-048)远程命令执行漏洞分析

#漏洞分析 ##漏洞背景 Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的JavaWeb应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了Struts 2 Stru ...
  • 0
  • 21
  • 0
  • 0
@Pikachu

web应用渗透测试流程

对于Web应用的渗透测试,一般分为三个阶段:信息收集、漏洞发现以及漏洞利用。下面我们就分别谈谈每个阶段需要做的事情。信息收集在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结 ...
  • 0
  • 21
  • 0
  • 1
@Pikachu

【漏洞预警】Struts(S2-049) 中危

脆弱性的影响DoS攻击可用于Spring安全措施最大安全评级中受影响的软件Struts 2.5 - Struts 2.5.10.1问题当使用Spring AOP功能来保护Struts操作时,当用户被正确认证时,可能会执行DoS攻击建议升级到Apache Struts版本2.5.12。向后兼容性没有反向不 ...
  • 0
  • 15
  • 0
  • 1
@Pikachu

【漏洞预警】Nginx敏感信息泄露漏洞

2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏,存在安全风险。具体详情如下:漏洞编 ...
  • 0
  • 13
  • 0
  • 1
@Pikachu

PSattack:一个渗透测试中使用的万能框架

什么是PSattack?PSattack是一个开源的,将渗透测试实践过程中所有的脚本结合起来形成的框架。更有趣的是使用攻击类型的PowerShell脚本并不会调用powershell.exe,而是通过.NET框架直接调用的PowerShell。另外,所有的模块都是加密处理的,并且不 ...
  • 0
  • 14
  • 0
  • 1
@Pikachu

通过F5获取服务器真实内网IP

渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。本文既是最近渗透遇到的一点点经验分享。F5修改cookie机制F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到 ...
  • 0
  • 15
  • 0
  • 1
@Pikachu

解决Chrome浏览器里需要点击启用flash

解决Chrome浏览器网站上传文件需要手动点击adobe flash player才可以上传后来版本更新后有的说没有那个选项了。因为Chrome更新到59版本以后设置flash的选项只有一个。此时需要通过在地址栏输入chrome://flags回车然后搜索flash按照下图更改后重启 ...
  • 0
  • 13
  • 0
  • 1
@Pikachu

Struts2 S2-052 RCE分析与利用

漏洞描述2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStr ...
  • 0
  • 14
  • 0
  • 7
@Pikachu

中危|Struts 插件远程代码执行漏洞(S2-053)

千疮百孔的 Struts2 应用又曝出存在新的中危远程代码执行漏洞。该漏洞由京东安全汇报,编号为 CVE-2017-12611 ,漏洞危害程度为中危(Moderate)。当用户在Freemarker标签中使用错误的构造时,可能会造成远程代码执行攻击漏洞编号CVE-2017-12611S2 ...
  • 0
  • 13
  • 0
  • 2
@Pikachu

渗透测试神器Burp Suite v1.7.26破解版(含下载地址)

Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应 ...
  • 0
  • 12
  • 0
  • 1