自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(10)
  • 资源 (5)
  • 收藏
  • 关注

原创 Understanding the Security Risks of Websites Using Cloud Storage for Direct User File Uploads

本文研究了网站用户直接将文件上传到云存储服务的安全风险。研究人员首次系统性分析了该场景的安全问题,并发现六种新漏洞,包括上传凭证滥用、文件覆盖、文件窃取等。研究为云存储安全提供了重要参考,推动未来研究。

2025-03-20 14:52:26 1050

原创 Don‘t Leak Your Keys: Understanding, Measuring, and Exploiting the AppSecret Leaks in Mini-Programs

系统性分析:首次系统研究微信小程序的主密钥泄露问题,揭示了其广泛性和严重性。大规模测量:通过扫描 3,450,586 个小程序,发现了 40,880 个泄露主密钥的小程序,量化了问题的影响。实际攻击演示:展示了基于主密钥泄露的账户劫持和服务盗用等攻击,验证了理论模型。推动行业改进:促使腾讯发布新的API,改善小程序的安全性。

2024-11-10 15:59:11 610 1

原创 【转载】关于file_put_contents的一些小测试

简单的记录了一下本菜的测试过程,过滤器只用了提到的和常用的,当然还有其他的过滤器是可以用的,不过总结起来说,思路都是一样的,就是如何把php exit();给**”吃掉“**,让自己构造的shell可以正常运行,简单总结了这种方法,当然,方法万千,师傅们有好的方法也欢迎分享(白嫖)~~~和这两个函数还是很有意思的,file_get_contents也有很多特性,下次有时间再写。

2024-11-10 15:29:47 1750 1

原创 Sharing More and Checking Less: Leveraging Common Input Keywords to Detect Bugs in Embedded Systems

论文指出,物联网(IoT)设备为我们的日常生活带来了极大的便利。然而,它们的广泛应用也放大了安全漏洞的影响。许多嵌入式系统的漏洞存在于其脆弱的Web服务中。现有的漏洞检测方法往往要么引入了较大的执行开销,要么误报和漏报较多,因此无法有效和高效地分析此类Web服务。为此,Libo Chen 等人提出了一种新颖的静态污点检查解决方案SaTC(Shared-keyword aware Taint Checking),用于高效检测嵌入式设备提供的Web服务中的安全漏洞。

2024-11-08 19:15:04 800

原创 SQL注入技术详解与过滤绕过方法

SQL注入攻击是严重的安全威胁,可能导致数据库数据泄露或篡改。使用参数化查询或ORM框架,避免直接拼接SQL语句。对用户输入进行严格过滤和验证,限制输入的格式和范围。定期更新依赖库,修复已知的安全漏洞。然而,攻击者可能通过编码、注释、拆分关键字等方式绕过简单的防护机制。因此,开发者应使用多层次的防御方法,并定期对应用进行安全测试。

2024-11-07 22:10:23 1853

原创 Do Not Trust the Clouds Easily: The Insecurity of Content Security Policy Based on Object Storage

内容安全策略(CSP)是W3C标准,用于防止跨站脚本(XSS)、数据注入攻击、点击劫持等前端攻击。文章揭示了一种基于当前云供应商对象存储服务漏洞的新型前端攻击。重点分析了如何利用对象存储服务绕过CSP,以及现实世界中这种漏洞的影响范围。提出了改进对象存储服务安全策略的新方法,以消除该安全威胁。CSP通过白名单机制限制网页加载的资源,防止不在白名单中的资源被加载,从而提高前端安全性。

2024-11-07 21:38:28 931

原创 URadar: Discovering Unrestricted File Upload Vulnerabilities via Adaptive Dynamic Testing

UFU漏洞(Unrestricted File Upload):UFU漏洞允许攻击者上传恶意文件,可能导致服务器被控制。UEFU漏洞(Unrestricted Executable File Upload):UEFU漏洞更为严重,攻击者上传的恶意文件可以在服务器上执行任意代码。现有检测方法的局限性依赖人工操作,适配性差且容易出错。测试时未充分利用有效信息,导致生成大量无效测试用例,影响效率。URadar 是一种基于自适应动态测试文件上传接口识别:自动识别文件上传接口,减少人工干预。

2024-11-07 21:28:58 1219

原创 Leaky Images: Targeted Privacy Attacks in the Web分享

Leaky Images攻击揭示了现代图片共享服务在设计上存在的隐私漏洞,攻击者可以利用这些漏洞对用户进行精准的隐私攻击。研究表明,多家知名网站存在该漏洞,并且部分网站已采取措施进行修复。未来,可能需要在浏览器和图片共享服务的层面上同时采取措施,才能有效防止此类攻击。

2024-11-07 21:03:23 688 1

原创 URadar:通过自适应动态测试发现不受限制的文件上传漏洞

URadar

2024-10-16 17:47:44 224

原创 Tested

2022-03-01 16:27:05 199 2

Postman 7.22

postman是一款强大网页调试工具的客户端,postman为用户提供强大的 Web API & HTTP 请求调试功能。postman能够发送任何类型的HTTP 请求 (GET, HEAD, POST, PUT..),附带任何数量的参数+ headers,是一款非常实用的调试工具。

2020-11-16

Access-Template.zip

IEEE-ACCESS的latex模板,官方模板,便于直接编辑排版,个人觉得用latex写paper更方便吧

2020-11-16

PGP Desktop 10.3.2.tar

PGP Desktop中文版用于邮件与文件的加密与签名,可以生成一对密码组合,由一个私人密码和一个公用密码组成,你可以将公用密码发送到网络服务器上,能够使想与你通信的人以公用密码加密通信的内容,在你接收到信息后,就可以用私人密码将其解密,这样就不会被其他人所偷看了,本版本适用于美国和加拿大以外的个人用户。同时可以用于磁盘加密,保护个人隐私。

2019-10-18

360公司_RDP漏洞[ CVE-2019-0708 ]无损扫描工具(3)(1).rar

0708detector.exe 程序是360公司的360Vulcan Team发布的一款针对编号为CVE-2019-0708的Windows远程桌面协议漏洞的检测程序,原则上该扫描程序不会造成目标系统出现蓝屏,请您测试后再使用。 目前程序只支持单个IP的扫描,您可以自行构造出批量扫描的程序,谢谢。

2019-06-03

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除