ZONE.CI 全球网

ZONE.CI 全球网:0x01 前言
最近Tenable 披露了Arcadyna 网络设备身份验证绕过漏洞，并且很多的厂商都采用产生漏洞的组件，由于Arcadyan 设备固件厂商并没有开源出来，在官

ZONE.CI 全球网:第111期你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。
【安全头条公告】
安全头条主要发布时下最火热最新鲜的网安资讯，不同于正儿八经的权威消

ZONE.CI 全球网:前言
ssrf中常用的协议有http，gopher等。但http的用处也仅限于访问内网网页，在可以crlf的情况下才有可能扩大攻击范围。gopher协议比较特殊，有一些环境下支

ZONE.CI 全球网:漏洞 VulnerabilityCVE-2021-26084: Confluence Server and Data Center远程代码执行漏洞
https://conflu

ZONE.CI 全球网:allocate程序分析
自己实现了一个分配器, 空闲的chunk组成一个单链表chunk结构释放申请先尝试从free_list中获取如果失败了就直接切割mmap_mem思路关

ZONE.CI 全球网:0x01 前言
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口，但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下，所以有了本篇

ZONE.CI 全球网:一、漏洞背景
上月中旬，CVE-2021-22555被公开披露，该漏洞在KCTF中被用于攻击kubernetes pod容器实现虚拟化逃逸。
该漏洞的产生是由于Linux Ne

ZONE.CI 全球网:如今Node.js凭借其跨平台、高性能的JavaScript执行环境，被广泛应用于服务器端和桌面程序（如Skype）的开发。在过去几年中，有报道称其他动态编程语言（例如 PHP

ZONE.CI 全球网:开始着手对Weblogic历史漏洞进行剖析，周末分析了Weblogic历史上的严重漏洞，一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单，但是时间太过久远，一些关

ZONE.CI 全球网:Rev_Dizzy
因为main函数太大，ida默认反编译函数的大小只有64K，所以这里会反编译会失败。这个问题可以通过修改反编译插件的配置文件\cfg\hexrays.cfg

ZONE.CI 全球网:引言
在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中，有一道名为 cybercms 的 web 题目。
预期解是从后台登录处进行 SQL 注入

ZONE.CI 全球网:大会官网：https://www.ccs.nosugartech.com/活动简介
CCS 2021成都网络安全大会是由四川省互联网信息办公室指导，成都市互联网信息办公室、成都

ZONE.CI 全球网:诈骗先知
当心！疫情新型“流调”诈骗来了！
疫情防控特殊时期，政府相关部门出于防疫需要，有时会要求相关人员登记个人信息，并进行必要的信息发布。然而，却有不法分子趁虚而入实施诈骗

ZONE.CI 全球网:本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场)，

ZONE.CI 全球网:0x01前言
近日，有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁，但是出于种种原因还是有较多用户不予理会，导致现在仍然有许多有漏

ZONE.CI 全球网:漏洞 VulnerabilityCVE-2021-1577: Cisco Application Policy Infrastructure Controller任意文件写入和

ZONE.CI 全球网:基本情况
2021年2月18日，SentinelLabs向惠普报告了其在打印机驱动程序中发现的严重漏洞，该漏洞影响380多款不同的HP和Samsung打印机，以及十几种Xero

ZONE.CI 全球网:Imagecheck题目给了源码，本地搭建一下。
框架是CodeIgniter。需要开几个php拓展，用phpstudy直接开就行。网站->管理->php拓展 redis和in

ZONE.CI 全球网:文章背景
前几天打了场InCTF，遇到一个WebKit题，打算从这题开始入手，学习一下jsc。环境准备git clone https://github.com/WebKit/W

ZONE.CI 全球网:前言
之前花过一段时间研究群晖的NAS设备，并发现了一些安全问题，同时该研究内容入选了安全会议POC2019和HITB2021AMS。网上关于群晖NAS设备安全研究的公开资料并

ZONE.CI 全球网:前言：找Ver

ZONE.CI 全球网:0. Directed fuzzing
Directed fuzzing 可以翻译为定向模糊测试，导向型模糊测试，是灰盒模糊测试中的一种。传统的覆盖率引导的模糊测试 (Cove

ZONE.CI 全球网:0x00 写在前面
Java提供了一种序列化的机制可以将一个Java对象进行序列化后，用一个字节序列表示，并在Java虚拟机之间或网络间传输，之后可通过readObject()

ZONE.CI 全球网:官网：货拉拉SRC官网: https://llsrc.huolala.cn/活动简介
距离中秋还有23天，我们已为各位白帽师傅准备了货拉拉定制款中秋礼盒（内含小型健身器材+月饼

ZONE.CI 全球网:文末福利预告各位安仔拥趸：
今天
小安
有一个大，很大，非常大的消息
要告诉大家
【安全客首页】
8月30日 正式开启焕新升级
喜迎安全客官网
2.0时代！
从画面迭代焕新
强