【JSRC小课堂预告】Web安全专题(四)漏洞挖掘技术之命令执行漏洞

百家 作者:京东安全应急响应中心 2020-04-08 19:38:16

JSRC小课堂Web安全专题的前三期里,我们就Web安全领域存在率较高的逻辑漏洞、常用的渗透测试平台burpsuite以及SRC漏洞挖掘技巧进行了详细的讲解,JSRC安全小课堂第150期,将继续就Web安全漏洞知识进行讨论。本期我们请到了SRC核心白帽局外人,为大家分享关于命令执行漏洞挖掘的新观点。




>>>>开课时间

本周五下午15:30-16:00  QQ开课群:464465695


>>>>本期议题:

命令执行漏洞是Web安全领域常见的漏洞类型,Web容器、Web框架等各种Web组件都可能发生命令执行漏洞。我们在挖掘命令执行漏洞时可能会遇到由于规则不允许写文件但需要得到命令执行结果的情况,或服务器无法出网需要得到结果的情况,以及允许写文件但找不到目录的情况,那么这些问题可以如何解决呢?


基于上述漏洞挖掘的问题,本期JSRC小课堂将和大家谈谈命令执行漏洞的挖掘技巧,以支持高效的漏洞挖掘。


>>>>本期嘉宾:


>>>>上期笔记

信息收集是渗透测试过程中较为关键的环节,收集到的资产信息越充足,越能最大化地广泛覆盖可能的攻击面。但国内网络限制、商用接口付费等问题会导致收集到的信息非常有限。面对少量信息难以挖掘到新漏洞或难以转变新目标的问题,我们可以通过根据企业组织架构收集信息、被动信息收集和主动信息收集三步获取高质量的资产信息,以支持漏洞的挖掘。

延伸阅读【JSRC小课堂】Web安全专题(三)SRC漏洞挖掘技巧:三步走收集高质量信息



JSRC近期动态

1. 京东SRC助力火线平台,火线挖洞奖励全面升级!
2.
【活动】JSRC物流保卫战来袭!
3.【沙龙实录】 零信任框架下的企业远程办公防护
4.【JSRC小课堂】Web安全专题(三)SRC漏洞挖掘技巧:三步走收集高质量信息
5.【JSRC小课堂】Web安全专题(二)逻辑漏洞的burpsuite插件开发


这是JSRC安全小课堂

持续陪伴你的第428

关注JSRC

获取小课堂往期合辑

     

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接