Metinfo 5.3.17 前臺SQL注入漏洞分析 2017年08月07日 2017年08月08日 漏洞分析 作者:phith0n@長亭科技 Metinfo 8月1日升級了版本,修復了一個影響小于等于 5.3.17 版本(幾乎可以追溯到所有5.x版本)的 SQL 注入漏洞。這個 SQL 注入漏洞不受軟...
Supervisord 遠程命令執行漏洞(CVE-2017-11610) 2017年08月03日 2017年08月04日 漏洞分析 作者:phith0n@長亭科技 前幾天 Supervisord 出現了一個需認證的遠程命令執行漏洞(CVE-2017-11610),在對其進行分析以后,將靶場加入了 Vulhub 豪華套餐。 ...
Python 安全 - 從 SSRF 到命令執行慘案 2017年06月26日 2017年06月27日 經驗心得 作者:phith0n@長亭科技 前兩天遇到的一個問題,起源是在某個數據包里看到url=這個關鍵字,當時第一想到會不會有 SSRF 漏洞。 以前烏云上有很多從 SSRF 打到內網并執行命令的案例...
如何判斷目標站點是否為 Django 開發 2017年06月26日 2017年06月27日 經驗心得 作者:phith0n@長亭科技 在黑盒測試的情況下,如何判斷一個站是否是 Django 開發的?以下這些方法,很多都能在我的博客得到印證。 利用 Debug 模式異常頁面判斷 DEBUG 模式...
三個案例看 Nginx 配置安全 2017年06月26日 2017年06月27日 經驗心得 作者:phith0n@長亭科技 之前在Sec-News中推薦了一個開源程序,作用是來檢測 Nginx 配置文件中存在的問題。正好 Pwnhub 上周的比賽也出現了一道題,包含由 Nginx 配...
