Yaseng

前言

记录一些排查常见日志的命令,方法wiki,欢迎补充 。
https://github.com/yaseng/pentest/blob/master/note/audit-log.md

漏洞分析

漏洞介绍

Discuz X 3.2 最新版源码包中存在默认插件好贷站长联盟(dzapp_haodai),但是没有开启。由于插件代码
存在多个安全问题 ,如果站长启用会存在一个前台普通用户可以远程代码执行。

0×00 前言

Linux作为应用最广泛的开源系统，其中独特的文件系统可以算是支撑Linux强大功能的核心组件之一，而
在文件系统中，符号链接(symbolic link )形如”月光宝盒”般可以穿梭时空，自由穿越森严的路径限制，此一
特性，使其地位在整个Linux系统中占有重要一席，本文将通过实际分析与研究，深入探讨因对符号链接处理
不当，可能造成的各类安全问题，以引发对此类问题的重视。

Summary

基本信息

应用名称

Wget

影响版本

Wget < 1.16

发布时间

2014-10-28

相关编号

CVE-2014-4877

前言

国庆之前分析了这个漏洞,看到有《安全参考》读者讨论,发一个简单Bash Shellshock 漏洞说明。

小编的话

《安全参考》2014年7月第19期终于又如约跟大家见面了！

虽然世界杯就这样默默的结束了，有人欢喜有人忧，但这都不是事儿！

新一期《安全参考》一定能给您带来同样的激情，同样的精彩，而且不一般的凉爽感觉！

为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。

小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！

内容丰富精彩，应有尽有，不容错过~

在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！

本期精彩内容

本期不仅有丰富多彩的常规渗透技巧，以及经典的SQL注入技巧，还有精彩的前端安全，WAF绕过，社会工程学，逆向工程等

还特别增加了ISCC2014的精彩writeups，已经本月的重大安全漏洞分析。

精彩内容，不容错过~

大家赶快来围观，让更多的小伙伴们惊呆吧！

前言

工业革命之后，世界文明进程进入了前所未有的飞速发展时期，迈入21世纪，互联网已经成为了引导世界经济、文化发展的核心动力，科技带给人自由的曙光，然 而，危险往往起于毫末之间，事物的发展总是相生相克的，当我们在享受互联网带来的便捷、自由的同时，越来越多的风险也纷至沓来，层出不穷的网络入侵，明文 密码泄露，网银劫持，恶蔓兹生的木马病毒、后门软件让人防不胜防！从qq、新浪、猫扑、天涯密码泄露，到“棱镜门”事情，互联网安全问题在今日愈发的突显 出来(更多见附件)

小编的话

《安全参考》2014年6月第18期终于又如约跟大家见面了！

这一期来得晚了一些，给大家道个歉，不好意思！！！

为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。

内容丰富精彩，应有尽有，不容错过！

小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！

在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！

本期精彩内容

本期不仅有丰富多彩的常规渗透技巧，以及经典的CMS渗透技巧，各种代码审计的技巧。

不仅如此，还有精彩的前端安全，WAF绕过，社会工程学，逆向工程等，精彩内容，不容错过~

大家赶快来围观，让更多的小伙伴们惊呆吧！

小编的话

《安全参考》2014年5月第17期又如约跟大家见面了！

为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。

内容丰富精彩，应有尽有，不容错过！

小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！

在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！

本期精彩内容

本期不仅有丰富多彩的常规渗透技巧，以及经典的CMS渗透技巧，各种代码审计的技巧。

还增加了新的专栏“漏洞月报”，为大家带来当月经典漏洞的分析，利用及修复。而且本期开始“漏洞月报”专栏有很大改进哦！

不仅如此，还有精彩的前端安全，WAF绕过，社会工程学，逆向工程等，精彩内容，不容错过~

大家赶快来围观，让更多的小伙伴们惊呆吧！