猫头鹰
信安舆情早知道

Web安全

如何仅用一个命令来提高MySQL安全系数?

Hypnos阅读(192)评论(0)

贵企业的数据中心很可能依赖一两台MySQL数据库服务器。如果真是这样,你应该确保自己的数据库是在着眼于安全的情况下安装和构建起来的。 幸好,MySQL提供了一个使用方便的命令,这个命令对于加强安装的MySQL的安全大有帮助。单单这个命令具有...

Node.js 反序列化远程命令执行漏洞分析

robert阅读(780)评论(0)

前言 不可信数据传递到unserialize()函数可以通过传递带有立即调用的函数表达式(IIFE)的JavaScript对象来实现任意代码执行。 漏洞 在对Node.js代码审查期间,我碰巧看到一个名为node-serialize的序列化...

【漏洞预警】WordPress REST API 内容注入

M0tto1n阅读(798)评论(0)

漏洞信息 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。近日,一个由REST API引起的影响W...

XPath注入详细分析

M0tto1n阅读(1506)评论(1)

0x01 简介 XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来构造请求以...

常见Web源码泄露总结

ArriSecTeam阅读(3025)评论(0)

背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现。 源码泄漏分类 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.example.com/.hg/ 漏洞利用: ...

DNS Rebinding技术绕过SSRF/代理IP限制

exp1oi7ss阅读(2258)评论(0)

0x00 传统SSRF过滤 传统SSRF过滤器的方式大致是以下几个步骤: 获取到输入的URL,从该URL中提取host 对该host进行DNS解析,获取到解析的IP 检测该IP是否是合法的,比如是否是私有IP等 如果IP检测为合法的,则进入...

我可能是用了假的隐身模式

同程安全应急响应中心阅读(2763)评论(0)

小编:文章提了一个探测chromium内核浏览器当前是否处于隐身模式的通用思路和具体实现,大家可以发散思维,搞一些有趣的事情 🙂 0x01 隐身模式 隐身模式会打开一个新窗口,以便在其中以私密方式浏览互联网,而不让浏览器记录访问的网站,当关...

MottoIN 换一个角度看安全

寻求报道联系我们