Antoniiiia

摘要： 漏洞描述 1.漏洞编号：CVE-2019-14234 2.影响版本： 1.11.x before 1.11.23 2.1.x before 2.1.11 2.2.x before 2.2.4 3.漏洞产生原因： Django通常搭配postgresql数据库，而JSONField是该数据库的一种数据 阅读全文

摘要： 基础知识 越权渗透： 越权（Unauthorized Access）是指用户在系统中执行了超出其权限范围的操作，访问了本不应访问的数据或功能。 这种行为通常是由于系统在权限验证环节存在缺陷，导致攻击者能够利用漏洞获取未授权的资源或执行未授权的操作。 题目 1. 垂直越权 进入页面，提示请登录，然后转 阅读全文

摘要： 文件上传漏洞 (一) 漏洞概念 文件上传漏洞是一种常见的Web安全漏洞，主要指攻击者通过Web应用程序的文件上传功能，上传恶意文件（如木马、病毒、WebShell等），从而获得对服务器的控制权。这种漏洞通常由于开发者在实现文件上传功能时，未能充分考虑安全性，导致恶意文件被上传并执行。 (二) 漏洞原 阅读全文

摘要： Windows系统虚拟机的加固 0. Windows配置的途径 组策略（gpedit.msc） 命令（cmd或powershell中执行，或者编写bat、ps文件执行） 注册表（regedit） 配置文件（位置和文件名各不相同） 1. 账户管理和认证授权 1.1 账户 1.1.1 默认账户安全 禁用 阅读全文

摘要： 1. 下载并部署 btslab 靶场 2. 下载 seay 3. 使用 seay 审计 ·打开 Seay 源代码审计系统.exe ·新建审计项目 ·进行自动审计 4.非框架代码审计小结 3 种审计方式： ·代码通读审计 ·危险函数审计 ·关键功能及代码对照审计 5.利用 seay 审计出 btsla 阅读全文

摘要： 基础知识 1. SSRF： SSRF（Server-Side Request Forgery，服务端请求伪造）是一种网络安全漏洞，攻击者通过该漏洞可以利用服务器端的应用程序发起伪造的请求。 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（因为它是由服务端发起的，所以它能够请求到与它相连而 阅读全文

摘要： 模板引擎 模板引擎是一种用于生成动态内容的工具，它通过将数据与预定义的模板结合，生成最终的输出文档。模板引擎的主要作用是实现界面与数据分离，业务代码与逻辑代码的分离，这不仅大大提升了开发效率，还使得代码重用变得更加容易。模板引擎可以让（网站）程序实现界面与数据分离，业务代码与逻辑代码的分离，这就大大 阅读全文

摘要： 基础知识 SSTI： SSTI（Server-Side Template Injection，服务端模板注入）是一种严重的Web安全漏洞，它允许攻击者利用应用程序中的模板引擎执行恶意代码。这种漏洞通常出现在Web应用程序中，当应用程序使用如Flask、Django、Spring等框架时，一般会采用比 阅读全文

摘要： 一、引言 在许多应用程序中，随机打乱数据是一个常见的需求。无论是音乐播放器中的随机播放、棋牌游戏中的洗牌，还是扫雷游戏中雷区的随机分布，这些场景都依赖于高效的洗牌算法。然而，实现一个真正公平且随机的洗牌算法并非易事。一个常见的错误方法是简单地从头到尾扫描数组，并与随机位置的元素交换，但这种方法并不能 阅读全文

摘要： 一、SSRF是什么？ SSRF（Server-Side Request Forgery，服务端请求伪造）是一种网络安全漏洞，攻击者通过该漏洞可以利用服务器端的应用程序发起伪造的请求。 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（因为它是由服务端发起的，所以它能够请求到与它相连而与外网 阅读全文