- 博客(10)
- 资源 (5)
- 收藏
- 关注
原创 Understanding the Security Risks of Websites Using Cloud Storage for Direct User File Uploads
本文研究了网站用户直接将文件上传到云存储服务的安全风险。研究人员首次系统性分析了该场景的安全问题,并发现六种新漏洞,包括上传凭证滥用、文件覆盖、文件窃取等。研究为云存储安全提供了重要参考,推动未来研究。
2025-03-20 14:52:26
1050
原创 Don‘t Leak Your Keys: Understanding, Measuring, and Exploiting the AppSecret Leaks in Mini-Programs
系统性分析:首次系统研究微信小程序的主密钥泄露问题,揭示了其广泛性和严重性。大规模测量:通过扫描 3,450,586 个小程序,发现了 40,880 个泄露主密钥的小程序,量化了问题的影响。实际攻击演示:展示了基于主密钥泄露的账户劫持和服务盗用等攻击,验证了理论模型。推动行业改进:促使腾讯发布新的API,改善小程序的安全性。
2024-11-10 15:59:11
610
1
原创 【转载】关于file_put_contents的一些小测试
简单的记录了一下本菜的测试过程,过滤器只用了提到的和常用的,当然还有其他的过滤器是可以用的,不过总结起来说,思路都是一样的,就是如何把php exit();给**”吃掉“**,让自己构造的shell可以正常运行,简单总结了这种方法,当然,方法万千,师傅们有好的方法也欢迎分享(白嫖)~~~和这两个函数还是很有意思的,file_get_contents也有很多特性,下次有时间再写。
2024-11-10 15:29:47
1750
1
原创 Sharing More and Checking Less: Leveraging Common Input Keywords to Detect Bugs in Embedded Systems
论文指出,物联网(IoT)设备为我们的日常生活带来了极大的便利。然而,它们的广泛应用也放大了安全漏洞的影响。许多嵌入式系统的漏洞存在于其脆弱的Web服务中。现有的漏洞检测方法往往要么引入了较大的执行开销,要么误报和漏报较多,因此无法有效和高效地分析此类Web服务。为此,Libo Chen 等人提出了一种新颖的静态污点检查解决方案SaTC(Shared-keyword aware Taint Checking),用于高效检测嵌入式设备提供的Web服务中的安全漏洞。
2024-11-08 19:15:04
800
原创 SQL注入技术详解与过滤绕过方法
SQL注入攻击是严重的安全威胁,可能导致数据库数据泄露或篡改。使用参数化查询或ORM框架,避免直接拼接SQL语句。对用户输入进行严格过滤和验证,限制输入的格式和范围。定期更新依赖库,修复已知的安全漏洞。然而,攻击者可能通过编码、注释、拆分关键字等方式绕过简单的防护机制。因此,开发者应使用多层次的防御方法,并定期对应用进行安全测试。
2024-11-07 22:10:23
1853
原创 Do Not Trust the Clouds Easily: The Insecurity of Content Security Policy Based on Object Storage
内容安全策略(CSP)是W3C标准,用于防止跨站脚本(XSS)、数据注入攻击、点击劫持等前端攻击。文章揭示了一种基于当前云供应商对象存储服务漏洞的新型前端攻击。重点分析了如何利用对象存储服务绕过CSP,以及现实世界中这种漏洞的影响范围。提出了改进对象存储服务安全策略的新方法,以消除该安全威胁。CSP通过白名单机制限制网页加载的资源,防止不在白名单中的资源被加载,从而提高前端安全性。
2024-11-07 21:38:28
931
原创 URadar: Discovering Unrestricted File Upload Vulnerabilities via Adaptive Dynamic Testing
UFU漏洞(Unrestricted File Upload):UFU漏洞允许攻击者上传恶意文件,可能导致服务器被控制。UEFU漏洞(Unrestricted Executable File Upload):UEFU漏洞更为严重,攻击者上传的恶意文件可以在服务器上执行任意代码。现有检测方法的局限性依赖人工操作,适配性差且容易出错。测试时未充分利用有效信息,导致生成大量无效测试用例,影响效率。URadar 是一种基于自适应动态测试文件上传接口识别:自动识别文件上传接口,减少人工干预。
2024-11-07 21:28:58
1219
原创 Leaky Images: Targeted Privacy Attacks in the Web分享
Leaky Images攻击揭示了现代图片共享服务在设计上存在的隐私漏洞,攻击者可以利用这些漏洞对用户进行精准的隐私攻击。研究表明,多家知名网站存在该漏洞,并且部分网站已采取措施进行修复。未来,可能需要在浏览器和图片共享服务的层面上同时采取措施,才能有效防止此类攻击。
2024-11-07 21:03:23
688
1
Postman 7.22
2020-11-16
PGP Desktop 10.3.2.tar
2019-10-18
360公司_RDP漏洞[ CVE-2019-0708 ]无损扫描工具(3)(1).rar
2019-06-03
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人