分类 “Web安全” 下的文章

  • CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造

    2017.06.27 · 发表评论

    作者: 启明星辰ADLab0x01 漏洞描述2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core...

  • Joomla!3.7.0 Sql注入漏洞

    2017.05.18 · Joomla!3.7.0 Sql注入漏洞已关闭评论

    漏洞描述漏洞等级:严重利用级别:简单/远程漏洞类型:8.6/10漏洞类型:sql 注入影响版本:Joomla! 3.7.0 漏洞风险这个漏洞出现在3.7.0新引入的一个组件“com_fields”,这个组件任何人都可以访问,无需登陆验...

  • Java反序列化漏洞通用利用分析

    2015.11.12 · 发表评论

    1 背景2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实...

  • Joomla 3.2 到 3.4.4 注入漏洞分析

    2015.10.24 · 发表评论

    CVE-ID: CVE-2015-7297披露时间: 2015-10-15漏洞等级: 高危漏洞作者: Asaf Orpani影响范围: Joomla (3.2.0<=version<=3.4.4)漏洞概述近日,Trustwave SpiderLabs 研究员Asaf Orpani 发现知名CMS Joomla 3.2...

  • WordPress 4.2持久性XSS分析

    2015.08.12 · 发表评论

    安全风险:危害 危害评分:6/10 漏洞类型:持久性XSS 补丁版本:4.2.4   上周WordPress团队发布了一个补丁,修复了6个安全漏洞。 漏洞披露时...

  • 使用AntiSamy防范XSS跨站脚本攻击

    2014.10.09 · 发表评论

    什么是XSS? XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入...

  • 配置ModSecurity防火墙与OWASP规则

    2014.07.20 · 发表评论

    ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增...

  • 浏览器安全策略说之内容安全策略CSP

    2014.04.17 · 发表评论

    作者:xisigr 目录 〇 前言 一 CSP概念 二 CSP发展时间轴 三 CSP语法 四 CSP默认特性 五 CSP例子 六 CSP的错误使用 七 CSP分析报告 八 CSP的使用率统计 九 CSP Bypass 十 CSP总结 十一 参考 〇...

  • Egor Homakov:我是如何再次黑掉 GitHub

    2014.02.28 · 发表评论

    // 编注:为什么标题是“再次”?2013年,GitHub Page服务启用新域名(从 page.github.com 换到 github.io)之前有被跨域攻击的危险。Egor Homakov 写了一篇博文证实。 这篇文章是关于我将5个危险性不高的漏洞组...

  • 从“黑掉Github”学Web安全开发

    2014.02.28 · 发表评论

    Egor Homakov(Twitter: @homakov 个人网站: EgorHomakov.com)是一个Web安全的布道士,他这两天把github给黑了,并给github报了5个安全方面的bug,他在他的这篇blog——《How I hacked Github again》(墙)说明...