最近在审计公司的某个项目时(Java方面)，发现了几个有意思的Blind XXE漏洞，我觉得有必要分享给大家，尤其是Java审计新手，了解这些内容可以让你少走一些弯路。 Java总体常出现的审计漏洞如下： >SQL注入 >XSS >CSRF >XXE > ...

上篇内容我们介绍了XXE的基础概念和审计函数的相关内容，今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法，希望对大家的学习有所帮助！ 上期回顾 ◀漏洞经验分享丨Java审计之XXE（上） Blind XXE Blind XXE与OOB-XXE ...

文章来源i春秋 白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。 本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。挖SRC思路一定要广！！！！漏洞不会仅限于SQL注入、命令执行、文件上传、XSS，更多的可能是逻辑漏洞、信息泄露、弱口令、CSRF。本文着重 ...

近期漏洞挖掘又有小发现，雨笋教育小编来给大家分享干货了 写在前面 最近挖的0day，可以getshell众多学校，这里分享下挖掘技巧，过程也是挺奇幻的~ 过程 1.首先访问目标站点：http://x.x.x.x/default.aspx 可以看到该页面有个登录框，右上角也有个登录按钮 ...

今天的文章是 i 春秋论坛作者ERFZE表哥发布的文章，关于CVE-2017-11882及利用样本分析，文章篇幅较长，阅读约12分钟。 漏洞描述 成因：Windows的公式编辑器EQNEDT32.EXE读入包含MathType的OLE数据 ...

这是去年我写的一篇文章，眼看着服务器马上到期了，也没有备份，直接复制过来了，也懒得改格式了，适合新手刷洞，将就看吧文章很水，但是很实在。 关于批量挖sql注入，其实很简单，之前我在补天提交漏洞的时候，曾经在往常查阅了以下关于批量挖SQL注入的文章，其实没几个，无非就是告诉你用谷歌关键词 ...

怎么用最省力的方式批量刷sql注入的站点 第一这里需要几个工具①7KBscan 爬虫机器人 （爬虫工具，种类很多，也可以自己写）②批量检测sql注入的工具（我这里用的是御剑的一个修改版，其实网上很多 ...

文章来源i春秋 本文适合新手参阅，大牛笑笑就好了，嘿嘿末尾有彩蛋！！！！！！！！！！！！！！！！！本人参加了本次"i春秋部落守卫者联盟"活动，由于经验不足，首次挖SRC，排名不是那么理想，终于知道了自己的白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。本文多处引用了 YSRC 的 公 ...