一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时，会忽略部分数据，造成精度损失，甚至产生不可预期的数值。如果在敏感的上下文中使用结果值，则可能...

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登...

一、什么是加密强度不足?大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据，但强度不足以达到所需的保护级别。RSA是目前最有影响力和最常用...

0X00 前言Newtonsoft.Json，这是一个开源的Json.Net库，官方地址：https://www.newtonsoft.com/json ，一个读写Json效率非常高的.Net库，在做开发的时候，很多数据交换都是以json格式传输...

作者：hu1y40（洞源实验室，安全工程师） 一、 事件背景腾讯旗下的微信是一款社交通讯应用程序，由中国互联网巨头腾讯公司开发和运营。作为一款领先的社交应用，微信在全球范围内拥有...

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据，用于把CLR数据类型序列化成XML流，它位于命名空间System.Runtime...

0x01 前言 在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御，在一定程度上对网站安全防护还是比较有效的。 这里讨论一下关键字过滤不完善及常见正则匹配存在...

一、什么是资源未关闭/释放?在使用临时或配套资源后，软件没有正确“清理”和删除这些资源。二、资源未关闭/释放漏洞构成条件有哪些?满足以下条件，就构成了一个该类型的安全漏洞：1、软件在使...

早在2017年，苹果MacOS的Sierra就出现过类似漏洞问题， 它允许任何人在root账户中输入一个空白密码或任意字符串作为密码即可进入系统。未授权的用户可以通过【系统偏好】设置，选择【用户...

本期主题为使用已破解或危险的加密算法导致漏洞的相关介绍。一、什么是使用已破解或危险的加密算法导致的漏洞?使用已破解或者有风险的加密算法会产生软件风险，可能导致敏感信息暴露。使用非标...