SecEvery - Technical knowledge sharing
wsYu9a
2025-10-09
这周看到了某公众号发的springboot+vue实现的一个后台管理系统。阅读量还挺高的,就下了一下源码翻一翻,发现里边漏洞还挺多的。尤其是SQL方面,作者虽然做了过滤但还是因为配置不当的导致SQL注入。
xhys121zero
2025-09-24
Prometheus基本原理是通过HTTP协议周期性抓取被监控组件的状态,这样做的好处是任意组件只要提供HTTP接口就可以接入监控系统,不需要任何SDK或者其他的集成过程。这样做非常适合虚拟化环境比如VM或者Docker 。
xhys121zero
2025-09-24
某管理系统挖掘SQL注入漏洞,前台通过给的账号密码,进去,按顺序依次点击1、2、3,然后开启抓包点击4,抓下来数据包,到burp的重放模块。构造以下注入poc,可见注入延时了五秒,用户输入的语句成功拼接到原有的SQL语句上执行了,下面的poc是MenuIds的值。
