导航
技术教程
实用工具
值得一看
福利分享
心灵鸡汤
赚钱项目
搜索
登录
首页
标签
漏洞
2023/11/9
技术教程
记一次某年代久远的某云漏洞到获得cnvd证书
一、前言 去年在做云安全运维时,忙的都没有空挖漏洞。为了弥补去年一年cnvd证书的空缺,某一天晚上我打开了FOFA搜索关键字"系统",找到了某个系统网站进行测试。 二、思路历程 找到该系统时,首先用插件看了下网站接口是否存在未授权访问。 看了圈都是下载相关...
576阅读
0评论
2023/8/31
值得一看
WordPress 迁移插件存在漏洞,或引发大规模数据泄露
Bleeping Computer 网站披露,拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞,攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-...
483阅读
0评论
2023/8/20
技术教程
基于LazyList的Scala反序列化漏洞透析(CVE-2022-36944)
引言 前段时间打SCTF,大牛师傅们的WP后,在hello java那道题使用了CVE-2022-36944这个漏洞,但是查阅资料在国内乃至全世界互联网中没有找到相关分析文章,在github上找到了1个复现项目环境,研究了一些时间大概懂了一点。 没接触过S...
519阅读
0评论
2023/8/14
技术教程
攻防演练 | 记一次打穿某车企全过程
0x00 前言 本文介绍了笔者在某次攻防演练中,如何从外网渗透到某车企的内网的详细过程(为了保护敏感信息,所有数据都已经脱敏,有些截图也不完整,请见谅)。 这次网络攻防演练分为两个阶段一共十四天,前七天是私有资源阶段,后七天是公共资源池阶段。共有12支队伍参...
559阅读
0评论
2023/8/14
技术教程
新的 Python URL 解析漏洞可能导致命令执行攻击
Python URL 解析函数中的一个高严重性安全漏洞已被披露,该漏洞可绕过 blocklist 实现的域或协议过滤方法,导致任意文件读取和命令执行。 CERT 协调中心(CERT/CC)在周五的一份公告中说:当整个 URL 都以空白字符开头时,urlpa...
450阅读
0评论
2023/2/28
实用工具
一款API水平越权漏洞检测工具
功能 通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞 特点 1. 支持HTTPS2. 自动过滤图片/js/css/html页面等静态内容3. 多线程检测,避免阻塞4. 支持输出报表与完整的URL、请求、响应 安装和使用 安装依赖 &n...
579阅读
0评论
2023/1/9
技术教程
高危漏洞利用工具 -- Apt_t00ls(1月6日更新)
免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x01 工具...
670阅读
0评论
2022/11/30
值得一看
难怪马斯克裁掉整个安全部门,推特540万用户数据在暗网公开
就在马斯克宣布裁撤整个安全部门之后,Twitter再次传来一个重磅消息,超过540万条用户数据已经在暗网公开,并且免费共享给所有人。此外,安全人员还披露了另外一个可能泄露的,规模更大的数据库,其中包含了上千万条Twitter数据。 这些数据包含了大...
1740阅读
0评论
2022/11/21
实用工具
文件上传漏洞 部分解析后缀
文件上传漏洞部分解析后缀 asp/aspx: asp,aspx,asa,asax,ascx,ashx,asmx,cer,aSp,aSpx,aSa,aSax,aScx,aShx,aSmx,cEr ...
560阅读
0评论
2022/11/20
实用工具
QQ大规模封号事件分析
最近两天QQ出现了大规模封号的情况,当然,我在推送群里的几个QQ也被封了,自己用的大号还健在。 结果就有热心网友找到了漏洞相关的POC,先对马叔叔(10001)进行了一波尝试,结果发现没有效果。 然后就拿我大号进行了测试,当...
768阅读
0评论
2022/7/19
值得一看
什么是远程代码执行漏洞?
什么是远程代码执行攻击? RCE 攻击包括通过使用系统某个级别的漏洞在系统中注入和执行恶意代码。这允许攻击者在系统中执行命令、窃取、损坏、加密数据等。 RCE 攻击有多危险? RCE 攻击的影响可能很大,...
739阅读
0评论
2021/9/13
值得一看
2021 OWASP十大应用安全风险
2021年的Top 10 里出现了3个新主题、4个命名与范围发生变化的主题,此外还进行了一些合并。 A01 :越权访问(2021-Broken Access Control) 从2017年的第5位上升至第1位。超过94%的app都...
809阅读
0评论
2021/5/26
技术教程
XSS平台搭建及利用
一、下载平台源码、拷贝到我们网站的根目录 https://github.com/anwilx/xss_platform 二、修改相关参数 1、config.php,数据库用户、密码、还有xss平台的访问路径 ...
919阅读
0评论
2021/4/17
值得一看
微信被爆出存在高危0day漏洞!新版本已修复,看到尽快更新!
微信被国内某安全团队(青藤)爆出,在电脑版微信客户端中捕获到一个高危等级的在野0day漏洞。建议3.2.1.141版本以下的用户立即更新! 此次被爆出的高危0day黑客只需要通过微信发送一个特制web链接,当用户点击链接后,微信电脑(w...
898阅读
0评论
2021/4/6
值得一看
常见端口漏洞利用总结
797阅读
0评论
2021/3/21
技术教程
HW常见攻击方式 -- 文件上传及文件包含漏洞
一、概念 文件上传漏洞,也就是常说的上传木马程序,一般先传小马,通过小马上传大马 文件包含漏洞,可以读取服务器本地文件 二、文件上传 1、本地上传限制不严格,头像上传,通过修改数据包上传文...
993阅读
0评论
2021/3/20
技术教程
WebShell -- Linux反弹
小攻:IP地址:192.168.139.129 Win7 小受:IP地址:192.168.139.128,Ubuntu 一、拿到webshell后,点击反弹提权 二、小攻运行nv -vv...
854阅读
0评论
2021/3/19
技术教程
HW常见攻击方式 -- SQL注入漏洞
一、产生原因代码与数据不区分。程序把用户输入的恶意内容传入SQL语句中执行,导致SQL注入漏洞产生。 二、常见挖掘方式 直接对url中的参数(请求参数、请求头)进行注入 Burp抓取post包进行注入 ...
905阅读
0评论
2021/2/25
值得一看
VMware官方通告多个高危漏洞
漏洞描述 2021年2月24日,酒仙桥六号部队监测到VMware官方发布了多个高危漏洞的通告,CVE编号分别是CVE-2021-21972,CVE-2021-21973,CVE-2021-21974。对此,建议广大用户做好资产自查以及预防...
877阅读
0评论
2020/12/3
技术教程
某公共平台个人信息查看处存在全局越权修改
01 漏洞标题 某公共平台个人信息查看处存在全局越权修改 02 漏洞类型 越权漏洞 03 漏洞等级 高危 04 ...
985阅读
0评论
1
2
