文章前言 GraphQL是一种用于构建API的查询语言和运行时环境，它提供了一种灵活且高效的方式来获取和修改数据，随着GraphQL的流行和广泛采用，我们也需要认识到与其相关的安全问题和挑战，本文将概述GraphQL的安全问题并提供实用的建议和最佳实践以帮助开发人员和系统管理员确保他们的GraphQL实现在安全性方面得到充分保护，包括一些常见安全漏洞以及如何通过正确的配置和安全措施来减轻这些风险

Al1ex 发表于 四川 · 2466浏览 · 2024-02-20 08:23

Windows "置外"免杀应用   红队或真实案件，经常以文件构造诱饵，如精心构造cve-2017-11882，以达到突破外网。同理可以反制，中高交互蜜罐中可部署大量文档类型exp，填充Shellcode执行反制。   Windows下可执行文件，包含word/chm/iqy/sql等，从APT思维出发，杀伤链武器构造/载荷投递环节利用和反制。 环境&CMD远控 1. 010工具(wi

一半人生 发表于 浙江 · 2215浏览 · 2024-02-20 00:54

概述 在笔者上一篇《QuasarRAT与AsyncRAT同源对比及分析》文章中，笔者提及说发现了一种疑似可适用于NET程序研究场景下的密钥套件自定义方法，因此，在过完新年后，笔者就尝试对其进行了梳理及研究。通过进一步梳理分析，笔者发现此方法基本可适用于所有不支持指定密钥套件的NET程序，可有效辅助我们对NET程序进行TLS通信解密，辅助对NET程序的通信模型进行快速的研究分析，梳理分析情况如下：

T0daySeeker 发表于 四川 · 853浏览 · 2024-02-19 08:00

前言   笔者大多数代码基于C/C++实践，部分使用Go/Py实践，对Rust的态度保持中立，但Rust肯定值得探索和使用。基于Rust尝试重构C/C++代码，Rust Hypervisor系列文章也是过程性知识分享和探讨。   文章不局限于Rust Driver，EPT，MSR，SPI等内容，注重实践过程，对端点安全和虚拟化攻防，具有实践意义和研究价值。   这里虚拟化泛指Intel VT-x技

一半人生 发表于 浙江 · 1524浏览 · 2024-02-19 07:45

最近对RESTful、graphQL攻击很感兴趣，所以从基本的使用到漏洞利用整体整理一下,也从中发掘了许多新知识点。 RESTful API RESTful是一种基于REST（Representational State Transfer，表现层状态转换）的架构风格，用于设计网络应用程序的交互和通信。它是一种利用HTTP协议的特性来构建Web服务的方法，强调资源的表现层和状态转换。在RESTfu

ma4 发表于 湖南 · 1437浏览 · 2024-02-18 14:35

0x01 详解 Kerberos 身份验证流程 Kerberos 及其主要组件 客户端从 Kerberos 密钥分发中心 (KDC) 获取票证，并在建立连接时将这些票证提交给应用程序服务器。它默认使用 UDP 端口 88，并依赖于对称密钥加密过程。Kerberos 使用票据来验证用户身份，完全避免了通过网络发送密码。 Kerberos 组件 规则 参与各方 Client：用户用来访问某

k0e1y 发表于 山东 · 3440浏览 · 2024-02-18 06:25

php-Memcached CRLF绕过 什么是 Memcached： 这是一个免费开源的高性能，分布式内存对象缓存系统，本质上是通用的，但是目的是通过减轻数据库负载来加速动态Web应用程序。Memcached 是一种内存键值存储, 用于存储来自数据库调用、API 调用或页面渲染结果的任意数据（字符串、对象）的小块，就是通过把数据存到内存当中，通过内存访问可以提高访问的速度。 在Memcache中

SpiritM0nK3y 发表于 山东 · 958浏览 · 2024-02-15 03:20

Background 翻了下自己的收藏发现有很多模板注入相关的记录，于是拿出一些共性来分析下，而GoLang是相对非常安全的语言，除了过时的库以外，现在唯一的可以玩的地方就是SSTI，我在做相关的CTF题时候，发现了一些有趣的玩法 模板语法的一些共性 解析头 近几年在关注一些CTF中，我发现了一些比较有趣的事情，比如某些语法是具有通用性的 首先都会有一些解析的符号标识 比如{{}} {% %}

你回来吗 发表于 黑龙江 · 616浏览 · 2024-02-14 17:32

原文链接：https://blog.thinkst.com/2024/01/defending-against-the-attack-of-the-cloned-websites.html 正文之前 在上一篇文章中，Casey 谈到了我们的克隆网站 Canarytoken 以及它如何抵御现代网络钓鱼攻击。 今天，我们发布了两个新版本的令牌，当攻击者对你的一个站点使用中间对手 （AitM） 攻击时，

n1ji1 发表于 美国 · 777浏览 · 2024-02-13 04:59

一种新的蜜罐设计思路：视频文件Canarytokens（蜜罐）：to be or not to be 原文链接：https://blog.thinkst.com/2024/01/video-file-canarytokens-to-be-or-not-to-be.html 最近Thinkst上的朋友（也是NCSC的CTO）在推特上发布了这个有趣的花絮： 我们一直在寻找新型的Canarytoken

n1ji1 发表于 美国 · 1070浏览 · 2024-02-13 04:58

现在开始我们的第三部分~ 文章已开源至Github，觉得写的不错的话就给个star吧~： https://github.com/W01fh4cker/LearnJavaMemshellFromZero 三、传统Web型内存马 3.1 Servlet内存马 3.1.1 简单的servlet内存马demo编写 根据我们在上面的2.3节中的分析可以得出以下结论： 如果我们想要写一个Servlet内存马

解*啊 发表于 江苏 · 2245浏览 · 2024-02-19 16:52

继续开始我们的第二部分~ 文章完整版已开源至Github，觉得写的不错的话就给个star吧~： https://github.com/W01fh4cker/LearnJavaMemshellFromZero 2.13 Tomcat Valve介绍与运行过程分析 2.13.1 Valve与Pipeline 在众多文章里面，下面的这篇我觉得是讲的最通俗易懂的，这里推荐给大家： https://www

解*啊 发表于 江苏 · 2517浏览 · 2024-02-19 16:51

一、前言 之前写的零基础学Fastjson的文章反向很不错，很多师傅在公众号后台和我的微信私聊我表示感谢，其实也没啥，大家都是零基础过来的。网上的文章多而杂，并且只有少部分文章是配图清楚、文字描述清晰的，很多时候新手学着学着可能就因为作者的某一个地方没有描述清楚而不知其所指，非常痛苦；亦或是文章面向对象不同，前置知识不扎实导致很多东西无法理解，这些痛点我都曾经历过。但是随着看过的代码逐渐增多，见识

解*啊 发表于 江苏 · 5554浏览 · 2024-02-19 16:51

生成器 生成器（Generator）是 Python 中一种特殊的迭代器，它可以通过简单的函数和表达式来创建。生成器的主要特点是能够逐个产生值，并且在每次生成值后保留当前的状态，以便下次调用时可以继续生成值。这使得生成器非常适合处理大型数据集或需要延迟计算的情况。 在 Python 中，生成器可以使用 yield 关键字来定义。yield 用于产生一个值，并在保留当前状态的同时暂停函数的执行。当下

0kam1 发表于 韩国 · 3610浏览 · 2024-02-10 09:34

Drupal 是一个高度灵活的开源内容管理框架，适合于开发复杂和高度定制的网站和应用。它被认为是三者中最强大但也最难以掌握的CMS，提供了高级的API和开发工具，使开发者能够构建功能丰富的定制网站。Drupal 适合于需要高度数据管理、分类以及扩展性的大型企业级网站，如社区门户网站、论坛、电子商务平台等。Drupal 的特点是安全性高、性能好，但对用户和开发者来说，它的学习和使用门槛较高。 0.主

ma4 发表于 湖南 · 1280浏览 · 2024-02-07 08:05