0x01前言XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。xss本质上就...

HVV介绍1、护网职责划分红队：打点人员、攻击人员、社工人员蓝队：监控人员、研判人员、溯源人员2、护网需要具备的技能红队：外围打点能力、漏洞挖掘能力、漏洞分析能力、权限提升能力、权限维...

俗话说得好，思路才是最重要，本文章主要提供思路，各位师傅在挖掘漏洞的时候说不定也能碰到类似的点。思路：当我们在找可以构建csrf的时候，多找找可以提交上传图片的，部分是可以自由构建url...

SSRF漏洞整理总结ssrf漏洞描述SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系...

漏洞简介​在Joomla!版本为4.0.0到4.2.7中发现了一个漏洞，在Joomla受影响的版本中由于对Web服务端点的访问限制不当，远程攻击者可以绕过安全限制获得Web应用程序敏感信息。影响版本4.0.0…

Metasploittable2打靶教程本次靶机练习主要熟悉：高危端口利用；metasploit中search,show及各个模块使用。一、环境准备1.把靶场放在vmware打开，启用nat模式：2.启用kali二、信息收集3.确…

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。前言测试服务器...

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。简介生产环境Ku...

前言WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也算是一个内容管理系统（CMS）环境搭建docker环境（搭建可参考：https://w…

漏洞名称S2-061CVE-2020-17530远程代码执行利用条件Struts2.0.0-Struts2.5.25漏洞原理s2-061漏洞产生的原因是Struts2会对某些标签属性(比如id，其他属性有待寻找)…

漏洞名称S2-052CVE-2017-9805远程代码执行利用条件Struts2.1.6-Struts2.3.33Struts2.5-Struts2.5.12漏洞原理Struts2REST插件的XStream…

背景几乎每个系统都会使用日志框架，用于记录日志信息，这些信息可以提供程序运行的上下文。log4j是被广泛使用的日志框架，这次漏洞原理就是通过JNDI注入。影响范围：2.0-beta9一、理论学习A、...