搜索中心

SSM 即 SPRING、SPRINGMVC、MYBATIS 三大框架的整合，随着其开发带来的各种便利以及好处，越来越多的公司以及RD使用其开发各种线上产品和后台管理系统，但也带来了许多安全性的问题。

时长一个月的安全训练生终于忙完了一天的苦逼工作，今日依然不见红队的踪迹，大概因为红队不知道目标都是时长一个月的安全训练生在防守吧？

近日，国外安全研究者发现了SaltStack的2个严重漏洞，已经有攻击者利用此漏洞入侵了多家国内的甲方厂商。

分享一种可以对微信小程序进行抓包分析的方法，帮助安全工程师进行小程序api接口的漏洞测试。

群里看到一张来自twitter的截图，分享了一下excel 0day的demo，对demo简单分析了一下。

Apache log4j2远程代码执行漏洞的几种缓解措施测试和修复缓解相关的注意事项。

今天攻击报警数量更加少了，可能红队经过前期的摸底和最初2天的外围信息收集和尝试打点，已经放弃了我们这个目标吧？

0x00 背景介绍缓冲区溢出：当缓冲区边界限制不严格时，由于变量传入畸形数据或程序运行错误，导致缓冲区被填满

CodeQL 是一个语义代码分析引擎，它可以扫描发现代码库中的漏洞。使用 CodeQL，可以像对待数据一样查询代码。用户可以使用 ql 语言编写自定义规则识别软件中的漏洞，也可以使用ql自带的规则进行扫描。

2022年1月，Wordpress官方发布公告披露了一个存在于WP_Query类中的SQL注入漏洞，编号为CVE-2022-21661。WP_Query在Wordpress核心框架和插件中使用范围非常广泛。

常用的shellcode被目前主流杀软秒杀，所以我们利用偏移量针对shellcode进行混淆，从而实现免杀。

记录近期爆发的2个影响Chromium内核浏览器的RCE漏洞的复现，已经WX RCE的CS上线测试。

4月9号爬取的互联网新增teamserver ip，蓝队可以根据情况增加出向或入向的策略规则。

最近，看到有人研究了基于NKN区块链网络的CS上线方式，觉得很有意思，自己也打算试试，看看这种上线方式的优缺点，顺便看看有没有​一些流量特征可供检测。

shhgit是一个开源的github敏感信息监控系统，覆盖了多种类型的敏感信息，可以监控github全网的敏感信息，支持自定义要监控的各种敏感信息规则。

今天7月19号国家互联网应急中心CNCERT发出通告，对CVE-2018-2894进行预警。

别人的CVE，今天无意看到了，刚好有用Solr搭建过服务，所以来水一篇。

根据重大项目前期的进行的信息收集和对比，获取0408号新增的CS �TeamServer IP地址。

第八届XCTF国际网络攻防联赛总决赛于2024年6月22日-23日在中国成都成功举办。

谷歌推出「暗网报告」功能：免费开放，本月月底开放； 谷歌 DeepMind CEO：当前 AI 综合智力还不如普通家猫； 萝卜快跑已在 11 个城市开放载人测试运营服务； AMD 以 6.65 亿美元现金收购 AI 开发商 Silo AI