ThinkPHP ThinkPHP有两个漏洞利用,下面这个是CVE-2019-9082漏洞,使用function=call_user_func_array&vars[0]=system&vars[1][]=URL利用该漏洞执行命令。 ThinkPHP2 另外一个漏洞利用跟上面的相似,攻击exp如下。 Redis爆破 Redis登陆不需要用户名,爆破会使用如下几个弱密码:admin、redis、root、123456、password、us...
[SCTF 2021]loginme go语言ssti漏洞 今天做个新颖的题,go中的ssti问题。进来点击访问/admin/index?id=1发现空白,只有admin能看,看看源码main.go。 点击查看代码 package main import ( "html/template" "loginme/middleware" "loginme/route" "loginme/templates" "github.com/gin-gonic/gin" ) func main(...
3、ThinkPHP ThinkPHP有两个漏洞利用,下面这个是CVE-2019-9082漏洞,使用function=call_user_func_array&vars[0]=system&vars[1][]=URL利用该漏洞执行命令。 4、ThinkPHP2 另一个漏洞利用跟上面的相似,攻击exp如下。 5、Redis 爆破 Redis登陆不需要用户名,爆破会使用如下几个弱密码:admin、redis、root、123456、...
【gin-vue-admin】I18N版本Beta,功能演示和使用教程,支持中文英文阿拉伯文,整体功能已经开发完成,剩余少量翻译。【翻转极光出品) 5514 13 5:27:32 App 最新网络安全kali教程【web安全、渗透测试、信息安全、kali Linux】零基础也能学 1219 -- 19:02:34 App Golang入门到实战教程丨一套精通GO语言 1947 -- 7...
但是我这里是采用了pem的方式直接把证书私钥等写在配置文件中了,也就是上文user那一段落下(Admin为管理员账户),为什么这么做的原因就是,程序不需要考虑证书文件的绝对路径相对路径的问题,但是这么做不好的一点就是每次更换证书时需要挨个找到对应的证书和私钥等文件,然后copy到相应的位置,而且很容易出错。
import("fmt""net/http""strings""text/template"//这里就采用了text模板包)//进行了全局定义typeUserstruct{IdintNamestringPasswdstring}funcStringTplExam(whttp.ResponseWriter,r*http.Request){user:=&User{1,"admin","123456"}r.ParseForm()//这里通过r.ParseForm()方法用户提交的表单,将其解析为一个...
DongTai是一款开源的被动式交互式安全测试(IAST)产品,通过动态hook和污点跟踪算法等实现通用漏洞检测、多请求关联漏洞检测(包括但不限于越权漏洞、未授权访问)、第三方组件漏洞检测等,目前支持Java、Python、GO、PHP的应用漏洞检测。github.com/HXSecurity/DongTai, 视频
在pkg/admin/admin.go的86行检测到用户隐私泄露,这里看到直接把用户输入的密码打印到控制台了,是一种不安全的处理方式。 cookie未启用httponly-代码结构分析 在pkg/admin/admin.go的110行检测到cookie未启用httponly,低危漏洞。 不安全的随机数-代码结构分析 ...
7.web项目 go-admin 比较规范的web管理系统模板,并集成了时下流行组件:https://github.com/go-admin...
package main import ( "log" "net/http" _ "net/http/pprof" "net/http/httputil" "strings" ) // Basic Auth 认证信息 const ( username = "admin" password = "secret" ) // BasicAuthMiddleware 是一个中间件,用于检查HTTP请求的认证信息 func BasicAuthMiddleware(next http.Handler) http.Handler ...