蜗蜗侠's Blog-关注网络安全移动版

  • 某php开源cms有趣的二次注入

    日期:2019-02-28 14:27:05 点击:177 好评:0

    漏洞说明 这个漏洞涉及到了mysql中比较有意思的两个知识点以及以 table 作为二次注入的突破口,非常的有意思。此cms的防注入虽然是很变态的,但是却可以利用mysql的这两个特点绕过防御。本次的漏洞是出现在 ndex.class.php 中的 likejob_action() 和 saveres...

  • Magento Commerce XSS漏洞分析

    日期:2019-01-10 10:43:48 点击:99 好评:0

    译文声明 本文是翻译文章,文章原作者Fortinet,文章来源:fortinet.com 原文地址: https://www.fortinet.com/blog/threat-research/magento-commerce-widget-form--core--xss-vulnerability.html 译文仅供参考,具体内容表达以及含义原文为准 一、前言 虽...

  • 从CVE-2018-1273学漏洞分析

    日期:2018-09-28 09:05:30 点击:152 好评:0

    漏洞分析的边界 漏洞分析最应该关注的是漏洞相关的代码,至于其余的代码可以通过关键位置下断点,来理解大概功能。 其中最关键的就是了解数据流,找到离漏洞位置最近的原始数据经过的位置,然后开始往下分析,一直到漏洞位置。 一个漏洞的触发的数据流动如下...

  • Pwn2Own2017专题:VMWARE UAF漏洞分析

    日期:2017-07-04 09:32:12 点击:66 好评:0

    本文将讨论各种VMware主题,包括利用,扭转和虚拟化VMware目标,从虚拟客户端到执行代码。...

  • 共 1 页/4 条记录