【漏洞复现】WebLogic XMLDecoder反序列化(CVE-2017-10271)
1、漏洞描述 CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。 2、涉及版本 10.3.6.0.012.1.3.0.012.2.1.1.012....
61.网络游戏逆向分析与漏洞攻防-利用数据包构建角色信息-逆向分析寻找数据类型解读表
免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动! 如果看不懂、不知道现在做的什么,那就跟着做完看效果,代码看不懂是正常的,只要会抄就行,抄着抄着就能懂了 内容参考于:易道云信息技术研究院 上一个内容:60.根据数据包内容判断数据包作用 首先整理一下现在要做的事情,之前是先通过数据包的分析,现在能够确定游戏它更新数据时,每个数据前面一定有一个数字用来代表数据的数据类型是什么(比如01代...
54.网络游戏逆向分析与漏洞攻防-基础数据分析筛选-截取解压后的数据包
免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动! 如果看不懂、不知道现在做的什么,那就跟着做完看效果 内容参考于:如果看不懂、不知道现在做的什么,那就跟着做完看效果,代码看不懂是正常的,只要会抄就行,抄着抄着就能懂了 上一个内容:53.逆向分析寻找消息数据解压缩过程 码云地址(master 分支):https://gitee.com/dye_your_fingers/titan 码云...
「 网络安全常用术语解读 」漏洞利用交换VEX详解
1. 产生背景 随着信息技术的快速发展,软件安全漏洞成为网络安全的重要威胁之一。黑客通过利用这些漏洞,可以进行网络攻击,窃取敏感信息,甚至破坏关键基础设施。为了提高对漏洞和其潜在利用的响应速度和效率,需要有一个统一的、标准化的信息交换机制,使得安全研究人员、软件开发者、安全运维人员以及相关组织能够及时共享和更新漏洞信息。在这样的背景下,VEX标准应运而生。 2. VEX简介 VEX(Vulnerab...
「 典型安全漏洞系列 」12.OAuth 2.0身份验证漏洞
后,客户端应用程序通常从专用 /userinfo 端点向资源服务器请求该数据。一旦收到数据,客户端应用程序就会使用它来代替用户名登录用户。通常使用从授权服务器收到的访问令牌,而不是传统的密码。 5. 漏洞产生原因 OAuth身份验证漏洞的出现部分是因为OAuth规范在设计上相对模糊和灵活。尽管每种授权类型的基本功能都需要一些强制性组件,但绝大多数实现都是完全可选的。这包括许多保持用户数据安全所必需的配...
「 典型安全漏洞系列 」11.身份验证漏洞详解
1. 什么是身份验证 身份验证即认证,是验证给定用户或客户端身份的过程。身份验证漏洞使攻击者能够访问敏感数据和功能。它们还暴露了额外的攻击面以供进一步利用。 身份验证漏洞的影响非常严重。如果攻击者绕过身份验证或强行进入另一个用户的帐户,他们就可以访问被泄露帐户的所有数据和功能。如果他们能够危害高特权帐户(如系统管理员),他们就可以完全控制整个应用程序,并有可能访问内部基础设施。 1.1. 身份验证和...
45.网络游戏逆向分析与漏洞攻防-角色管理功能通信分析-解码发送数据内容输出到日志
免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动! 如果看不懂、不知道现在做的什么,那就跟着做完看效果 现在的代码都是依据数据包来写的,如果看不懂代码,就说明没看懂数据包 内容参考于: 易道云信息技术研究院VIP课 上一个内容:44.角色创建服务器反馈数据包分析 码云地址(master 分支):https://gitee.com/dye_your_fingers/titan 码云版本号...
大模型新漏洞!Anthropic警告:新式“多轮越狱”攻破AI防线,或祸起长文本
,就能诱使其告诉你如何制造炸弹。 他们将这种方法称为“多轮越狱”,不仅撰写了相关论文,还将其告知了人工智能领域的同行们,以便能采取措施来减轻这一风险。 1.长文本越卷越离谱,不料却成“祸端” 这个新的漏洞是由于最新一代LLM的“上下文窗口”增大而产生的。上下文窗口是指模型可以暂存的数据量,以前只能存储几句话,而现在则能容纳数千词甚至整本书的内容。 Anthropic的研究团队发现,具有较大上下文窗口的...
37.网络游戏逆向分析与漏洞攻防-游戏网络通信数据解析-解码器细化类的实现
免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动! 如果看不懂、不知道现在做的什么,那就跟着做完看效果 内容参考于:易道云信息技术研究院VIP课 上一个内容:36.数据解码器的实现 码云地址(master 分支):https://gitee.com/dye_your_fingers/titan 码云版本号:855b495f1be08ac56b15baa71d8f2accf5c3325b...
真没想到,SQL注入漏洞的这么大,竟然导致1400万名俄罗斯大学毕业生信息泄露
理,且对sql注入的危害没有明显的感受,本文将给小伙伴们分享一期SQL注入的知识点,让大家以后能够规避这类问题。 01 什么是SQL注入 SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。 即:注入产生的原因是后台服务器在接收相关参数时未做好过滤直接带入到...