PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏。
而且在前台上传文件处,没有对文件后缀进行严格的审查,导致可以前台GETSHELL,直接获取到了网站的权限。
点击马上实验,i春秋安全专家带你体验漏洞成因及危害。
https://www.ichunqiu.com/course/58003 课程详解
DEF CON 24·400米之外破解你的智能蓝牙锁(公开课)
本节课程选自2016年在美国拉斯维加斯举办的DEF CON大会。作为世界上最知名的黑客大会,DEF CON每年举办一次,参会者除了来自世界各地的黑客,还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。
最近市面上的低功耗蓝牙锁非常流行。这些供应商们都信誓旦旦地承诺通过智能手机控制来保证设备的便利性和安全性。本节课程中,Anthony Rose研究调查了16个供应商的产品并发现了大量的无线漏洞。使用一个50美元的天线,Anthony成功地在400米之外入侵了蓝牙锁。本节课程中,Anthony具体介绍了什么是低功耗蓝牙,低功耗蓝牙的安全性,以及在他的研究中用到的开源工具。
Burp Suite 是用于测试Web 应用程序安全的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快测试应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
V5est0r,Web安全研究者,主攻渗透测试、Web漏洞挖掘、脚本编程。
Burp Suite 入门很难,参数复杂,本课程中v5est0r讲师采用理实一体的教学方式,带领大家了解并精通这一测试Web 应用程序安全的工具,一旦掌握它的使用方法,在日常工作中就会如如虎添翼。
Android软件逆向核心技术,IDEA动态处理so与JEB动态调试
七少月,一位经验丰富的安卓安全研究爱好者。从2013年开始,就担任计算机教师工作,经常活跃于吾爱、看雪、逆向未来等安全论坛,尤其是在安卓游戏安全以及安卓移动安全系统化学习框架等领域有较为突出的见解和贡献。
讲师结合自身多年的教学经验,设计了《Android安全之软件逆向核心分析》课程。本门课程的特点是基础性、核心性以及综合性,主要阐述的是安卓安全中软件逆向分析、修改破解等相关知识,在安卓移动安全中,起到了基石的作用。
零基础不怕,本课程带你从零学起安卓安全,培养精代码、善项目实战的移动安全抢手人才!
Cobalt Strike高级渗透,如何连接团队服务器
讲师打酱油的无心,专注渗透测试、Web安全,喜欢搬砖,混迹于各大论坛,本课程中他给大家带来了Cobalt Strike高级渗透讲解。
Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描、自动化溢出、多模式端口监听、win exe木马生成、win dll木马生成、java木马生成、office宏病毒生成、木马捆绑;钓鱼攻击包括:站点克隆、目标信息获取、java执行、浏览器自动攻击等。
声明:本课程为网友自行上传,由打酱油的无心翻译!