每日安全动态推送(24/11/27)

文章预览

•  從 SQL 到 RCE: 利用 SessionState 反序列化攻擊 ASP.NET 網站應用程式 | DEVCORE 戴夫寇爾 From SQL Injection to Remote Code Execution: Exploiting Deserialization Vulnerabilities in ASP.NET Applications via SessionState 本文深入探讨了一个从SQL注入升级至远程代码执行(RCE)的技术路径，通过分析ASP.NET应用中的SessionState机制与反序列化漏洞，揭示了攻击者如何巧妙利用这些技术细节实现对目标系统的全面控制。这是当前网络安全领域的一个重要议题，对于理解和防御高级持续性威胁具有极高价值。 •  改进Ruby反序列化漏洞利用：构建更稳定的通用小工具链 Ruby 3.4 Universal RCE Deserialization Gadget Chain / nastystereo.com 本文深入探讨了Ruby反序列化漏洞的最新利用方法，作者不仅更新了针对Ruby新版本（包括3.4-rc）的有效链式攻击策略，还详细介绍了如何避免执行后引发异常的新技术。通过使用Rak ………………………………