李亚楠：优雅而坚定的和SQL注入说再见！ 金融安全 威胁情报 渗透测试 渗透测试 网络安全

信息安全_数据安全_us-18-Harang-Measuring-the-Speed 应急响应 安全体系 安全运营 数据分析 解决方案

十分强大的后台扫描工具，有需要的拿去~~

课程简介： 渗透测试中信息收集常用的多种方式 常见漏动的联动扫描 攻击利用的典型途径 部分案例讲解

Weblogic的功能以及相关历史漏洞点 Weblogic的反序列化的漏洞复现 Weblogic的反序列化的分析 Weblogic的反序列化漏洞的思考

当前web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度，对是否能够发现高危漏洞起到重要作用。本议题中，将会深入探讨PHP 7.4的一些最新feature，以及如何利用这些feature去突破一些配置上的限制，结合xml相关漏洞，来实现远程信息泄露和远程代码执行。

XSS相关漏洞一直是无法忽略的问题，即使再好的开发工程师也避免不了写出”不安全”的代码，这次议题将深入浅出的介绍一下XSS漏洞形成与危害。

主要讲解在跨域获取资源中,程序开发者在开发过程中可能导致疏忽而引起的跨域安全问题导致的隐藏攻击面,主要介绍Flash,CORS等跨域获取资源中一些攻击方法和修复及防御 目录 主流跨域方式 跨域方式的安全性 FLASH跨域利用实战 未来之星-被忽视的CORS 跨域漏洞的防御

Server Side Template Injection, 服务端模板注入，最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh（呆爷），主要从模版注入Flask方向为大家带来了精彩的分享。 模板注入相较于其他注入，例如xss、sql注入、xml注入等攻击，其本质思想是一致的，服务器端接受了用户的输入，未做验证或过滤便作为模板内容的一部分，在进行模板渲染时候，发生了代码执行。目前有很多模板引擎，都可能存在这样的问题。本次议题结合Flask框架及其使用的Jinja2模板，讲解了模板注入的原理、注入手段和一些绕过方式，以及结合Python沙盒逃逸思路的一些攻击手段，最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 沙箱逃逸的思路 绕过防御 使用JINJA2沙箱

IBM Rational AppScan Enterprise Edition 7.7.654（官方原版安装文件+破解key文件） 分卷压缩包 Part 1 IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具，它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作，以往都是由人工进行，成本相对较高，但是效率却非常低下)，还可以根据发现的安全隐患，提出针对性的修复建议，并能形成多种符合法规、行业标准的报告，方便相关人员全面了解企业应用的安全状况。