猫头鹰
信安舆情早知道

技术控

Python 代码实现 Web 应用的注入

SecPaper阅读(1272)评论(0)

易受Python代码注入漏洞影响的Web应用程序,允许您通过应用程序将Python代码发送到目标服务器的Python解释器上。  你可以执行python程序,可以调用操作系统命令,可以运行操作系统的命令,对有权访问的文件进行读/写,甚至可能...

Google SpreadSheet的CSRF漏洞和JSON劫持漏洞导致数据窃取

Tower阅读(1666)评论(0)

在2015年10月,我发现了一个谷歌的与电子表格的展示有关的一个API中的JSON+CSRF劫持漏洞,使用这种漏洞的攻击者可以窃取目标受害者的电子表格的内容而无需谷歌云盘的权限。 漏洞的影响: 当利用网络对目标受害者发起攻击的时候,攻击者能...

mimikatz新版发布:支持Windows 10 AU & Server 2016

SecToolkit阅读(1745)评论(0)

简介 只要借用一下电脑,便可轻松拿到密码……“女神,借用电脑一看可否?” mimikatz是一个法国人写的轻量级调试器。出众之处在于其可以直接从 lsass.exe 里获取windows处于active状态账号明文密码,非常强大 mimik...

Redis Lua远程代码执行EXP

Drops知识库阅读(1657)评论(0)

Author:boywhp(boywhp@126.com) 前篇:LUA虚拟机逃逸 一、概述 Redis服务器支持LUA脚本,通过如下命令行在服务器执行一段lua脚本: redis-cli –eval exp.lua -h host_ip ...

unicode同形字引起的安全问题

SecPaper阅读(1055)评论(0)

spotify的漏洞 相关资料: Creative usernames and Spotify account hijacking spotify的漏洞相比于github的漏洞来说是一个真正的高危漏洞,可以修改任意用户的密码。 g...

MottoIN 换一个角度看安全

寻求报道联系我们