Skype for Business 2016 - 跨站点脚本漏洞
#target user$target = "username@domain.com"  # For this example we will force the user to navigate to a page of our choosing (autopwn?)# Skype uses the default browser for this.  $message = "PoC Skype for Business 2



InsomniaX 2.1.8任意内核扩展加载漏洞
struct passwd *pw = getpwuid(getuid());    char *homedir = pw->pw_dir; char *supportPath = strcat(homedir, "/Library/Application Support/InsomniaX");const char *kextPath = strcat(supportPath, "/Insomnia_r11.

斗象科技发现高危Struts2 showcase远程代码执行漏洞(S2-048)
近期,来自斗象科技(Tophant)的安全研究员icez发现Struts2 showcase应用中存在远程代码执行高危漏洞。Struts2官方已经确认该漏洞(漏洞编号S2-048,CVE编号:CVE-2017-9791),漏洞危害程度为高危(High)。漏洞编号CVE-2017-9791S2-048漏洞影响Struts 2.3.x系列中的Showcase应用值得一提的是,showcase指的是一个应用,通常在路径 \struts-2.3.x\apps\struts2-showcase.war 中



Python安全 - 从SSRF到命令执行惨案
0x01 判断SSRF漏洞目标example.com,根据其中csrf_token的样式,我猜测其为flask开发(当然也可能是一个我不太熟悉的框架使用了和flaskwtf相似的代码):开着代理浏览了一遍整个网站的功能,功能点不多,比较小众的一个分享型站点。偶然间在数据包里看到url=,看了一下发现是一个本地化外部图片这么一个功能。这种功能很容易出现两种漏洞:SSRF漏洞XSS漏洞SSRF漏洞就不用多说了,在拉取外部资源的时候没有检查URL,导致可以向内网发送请求;XSS漏洞容易被忽略,拉取到目

FFmpeg任意文件读取漏洞分析
漏洞分析漏洞最初是由neex提交到HackerOne平台,并最终获得了1000$的奖励,原文链接为 https://hackerone.com/reports/226756  。根据作者所述,该漏洞利用了FFmpeg可以处理HLS播放列表的特性,而播放列表可以引用外部文件。通过在AVI文件中添加自定义的包含本地文件引用的HLS播放列表,可以触发该漏洞并在该文件播放过程中显示本地文件的内容。 随后,Corben Douglas根据neex的报告,实现了该漏洞POC利用

友情链接