漏洞第10页

045-SSH版本升级-openssh-9.8p1

下载新版本SSH4、备份原有的SSH配置5、上传文件并解压6、安装依赖7、编译安装openssh7.1、在解压后的目录，初始化openssh7.2、替换密钥文件7.3、修改配置文件7.4、重启SSH服务漏洞描述

深度学习0407·2025-05-21 05:39

关于 Web 漏洞原理与利用：2. XSS（跨站脚本攻击）

一、原理：用户输入未过滤被执行攻击者输入的内容，如果没有被正确处理（过滤/转义），被网页原样输出到浏览器中，那么这些内容就可能会被浏览器当成代码执行，这就是XSS（跨站脚本攻击）。三个关键部分1）用户输入用户可以控制的数据（攻击者当然也就可以），比如：URL参数：?name=张三表单内容：用户名、评论内容Cookie值、Referer上传的HTML内容（富文本）2）未过滤服务器或者前端在把这些用户

shenyan~·2025-05-20 20:45

关于 Web 漏洞原理与利用：1. SQL 注入（SQLi）

一、原理：拼接SQL语句导致注入SQL注入的根本原因是：开发者将用户的输入和SQL语句直接拼接在一起，没有任何过滤或校验，最终被数据库“当作语句”执行了。这就像是我们给数据库写了一封信，结果攻击者在我们的信里偷偷夹带了一份自己的“指令”，数据库不加分辨就执行了两份内容。1.举例说明假设有一个登录功能，代码如下：$username=$_POST['username'];$password=$_POS

shenyan~·2025-05-20 20:44

揭秘安全性测试：守护数字世界的隐形卫士

二、一探安全性测试的究竟三、安全性测试的“十八般武艺”（一）漏洞扫描：揪出隐藏的安全隐患（二）渗透测试：模拟黑客的实战演练（三）安全配置检查：筑牢安全防线的基础（四）密码破解测试：捍卫账号安全的关键四、

大雨淅淅·2025-05-20 15:13

Linux 网络安全守护：构建安全防线的最佳实践

1.定期更新系统和软件保持系统和软件的最新状态是防止安全漏洞的重要措施。Linux发行版通常提供定期的安全更新，用户应定期检查并安装这些更新。使用包管理工具（如`apt

伟祺top·2025-05-20 15:13

终端安全新范式：银行业如何抵御勒索软件与内部威胁？（二）

银行业因其业务特性面临极高的安全风险与合规要求：终端设备承载客户隐私、交易数据等核心资产，需通过加密、访问控制等技术防止泄露；多平台异构环境（Windows/Linux/ATM终端）需统一管理以消除漏洞盲区

卓豪终端管理·2025-05-20 14:11

CentOS7/8 升级openssl版本至3.0.8 修补漏洞SWEET32

升级步骤1.安装perl-CPAN模块yuminstallperl-IPC-Cmd2.下载openssl源代码wget--no-check-certificate https://www.openssl.org/source/openssl-3.0.8.tar.gztar-zxvfopenssl-3.0.8.tar.gz3.编译openssl./config--prefix=/usr/local/

QuickNetty·2025-05-20 13:29

glibc漏洞威胁数百万Linux系统安全可导致任意代码执行

GNUC库（glibc）作为绝大多数Linux应用程序的基础组件，其共享库加载机制中新发现的漏洞可能影响静态setuid二进制文件的安全性。

FreeBuf-·2025-05-20 13:58

Windows远程桌面网关漏洞可被攻击者利用触发拒绝服务条件

微软安全响应中心(MSRC)已发布重要安全更新，修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。

FreeBuf-·2025-05-20 13:28

对抗性机器学习：AI模型安全防护新挑战

随着采用对抗性机器学习（AdversarialMachineLearning,AML）的AI系统融入关键基础设施、医疗健康和自动驾驶技术领域，一场无声的攻防战正在上演——防御方不断强化模型，而攻击者则持续挖掘漏洞

FreeBuf-·2025-05-20 12:27

防御策略与安全加固

第四部分：防御策略与安全加固4.1漏洞防御4.1.1SQL注入防御（Impossible级别）核心策略：参数化查询：使用预处理语句（如PreparedStatement）分离SQL逻辑与数据输入。

Alfadi联盟萧瑶·2025-05-20 12:22

渗透测试行业术语2

2.渗透测试:为了证明网络防御按照预期计划正常运行而提供的一种机制，通常会邀请专业公司的攻击团队，按照一定的规则攻击既定目标，从而找出其中存在的漏洞或者其他安全隐患，并出具测试报告和整改建议。

网络空间小黑·2025-05-19 22:54

华为鸿蒙安全引擎升级：企业物联网数据防护的「攻防实战进阶」

一、新型安全威胁与应对策略（一）零日漏洞攻击防护想象一下，黑客手里握着一把“隐形钥匙”（零日漏洞），趁你不备就想溜进系统搞破坏

·2025-05-19 19:14

iOS 17.0如何无需签名一键安装巨魔的教程

2教程支持的iOS版本iOS15.0~16.7RC(20H18)iOS17.0（内部版本号：21A326、21A327、21A329、21A331）iOS17.0.1以上~17.6.1（苹果已经修复了漏洞

代码简单说·2025-05-19 06:02

谈谈未来iOS越狱或巨魔是否会消失

因为巨魔强依赖的漏洞就是一个签名漏洞，攻击面有限又经过2轮修复，第3次出现漏洞的概率极低。而越狱的话由于系统组件和服务较多，所以出现漏洞概率高攻击面多，未来越狱仍存在概率比巨魔高得多。

Chargelimiter·2025-05-19 06:30

深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复

本文将深入探讨Kubescape，特别关注其在容器镜像漏洞修复方面的能力，帮助读者全面了解这一工具如何增强Kubernetes环境的安全性。2.Kubescape概述Ku

ivwdcwso·2025-05-19 05:58

安全测试：从基础到进阶

安全测试，作为软件开发过程中的关键环节，对于发现并修复系统中的潜在漏洞、防止恶意攻击和数据泄露具有重要意义。

有点菜的小刘·2025-05-19 05:55

WordPress_Relevanssi Sql注入漏洞复现（CVE-2025-4396）

免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。

iSee857·2025-05-19 04:20

内存安全暗战：从 CVE-2025-21298 看 C 语言防御体系的范式革命

引言2025年3月，当某工业控制软件因CVE-2025-21298漏洞遭攻击，导致欧洲某能源枢纽的电力调度系统瘫痪37分钟时，全球网络安全社区再次被拉回C语言内存安全的核心战场。

南玖yy·2025-05-19 03:10

14【高级指南】Django部署最佳实践：从开发到生产的全流程解析

即使设计精良的应用程序，如果部署不当，也会面临性能瓶颈、安全漏洞和可靠性问题。根据最近的研究，超过60%的Web应用故障与部署配置不当有关，而非代码本身的缺陷。

Is code·2025-05-18 14:17

安全版4.5.8开启审计后，hac+读写分离主备切换异常

文章目录环境BUG/漏洞编码症状触发条件解决方案环境系统平台：UOS（飞腾）版本：4.5.8BUG/漏洞编码3043症状BUG安装包：hgdb-see-4.5.8-db43858.aarch64.rpm

瀚高PG实验室·2025-05-18 11:26

C#合规跟踪卡在第4步？95%开发者忽略的‘审计黑箱’！5步解锁合规全视界！

→你一脸懵；权限控制漏洞，实习生不小心删除了核心配置；合规报告

墨瑾轩·2025-05-18 10:47

Cursor安全漏洞事件深度解析：当AI编程工具成为供应链攻击的新战场

「炎码工坊」技术弹药已装填！点击关注→解锁工业级干货【工具实测|项目避坑|源码燃烧指南】引言：AI编程工具的普及与安全隐患的暗涌在AI编程工具（如Cursor、GitHubCopilot）彻底改变开发效率的今天，开发者对自动化工具的依赖已深入骨髓。然而，技术红利的背后，安全风险正呈指数级增长。2025年5月，网络安全公司PillarSecurity披露了一起针对CursormacOS用户的供应链攻

炎码工坊·2025-05-18 07:54

Shiro721 反序列化漏洞（CVE-2019-12422）

目录Shiro550和Shiro721的区别判断是否存在漏洞漏洞环境搭建漏洞利用利用Shiro检测工具利用Shiro综综合利用工具这一篇还是参考别的师傅的好文章学习Shiro的反序列化漏洞上一篇也是Shiro

未知百分百·2025-05-18 03:56

如何用PDO实现安全的数据库操作：避免SQL注入

然而，SQL注入是一种常见的安全漏洞，攻击者可以通过恶意输入来操控数据库，从而获取敏感信息或破坏数据。使用PHP的PDO（PHPDataObjects）扩展可以有效地防止SQL注入。

奥利奥669·2025-05-18 03:54

告别复杂混乱的“祖传“配置：Spring Security 安全架构重构与优化实战

这些配置代码通常有这些特点：没人敢动、充满神秘注释、层层嵌套的条件判断、各种看似随意的安全规则拼接，甚至可能包含潜在的安全漏洞。更糟糕的是，原始编写者可能早已离职，留下的只有一

码上Java.·2025-05-18 03:53

中exec()函数因$imagePath参数导致的命令注入漏洞

$imagePath,$barcodeList,$returnVar);针对PHP中exec()函数因$imagePath参数导致的命令注入漏洞，以下是安全解决方案和最佳实践：一、漏洞原理分析直接拼接用户输入

事业运财运爆棚·2025-05-17 21:14

Weblogic 反序列化远程命令执行漏洞 CVE-2019-2725 详解

Weblogic反序列化远程命令执行漏洞CVE-2019-2725详解一、漏洞背景2019年4月17日，国家信息安全漏洞共享平台（CNVD）收录了由中国民生银行股份有限公司报送的OracleWebLogicwls9

Waitccy·2025-05-17 19:03

中间件安全基础：架构中的隐形防线

其安全漏洞可能导致全链数据泄露或服务瘫痪。

2501_91895405·2025-05-17 17:21

MCP协议“工具投毒攻击”：AI代理的无声危机与防御指南

炎码工坊·2025-05-17 17:16

韩媒聚焦Lazarus攻击手段升级，CertiK联创顾荣辉详解应对之道

顾荣辉指出，Lazarus组织的攻击手法已突破传统技术漏洞利用的范畴，上升至对社会信任机制的渗透与操控，其威胁程度前所未有。作为Web3.0安全行

CertiK·2025-05-17 08:38

想当网络安全卫士？Kali Linux的下载、配置与“黑科技”全揭秘

其核心特点包括：预装600+安全工具：涵盖网络扫描（如Nmap）、漏洞利用（如Metasploit）、密码破解（如JohntheRipp

WuYiCheng666·2025-05-17 06:23

浅谈软件成分分析（SCA）在企业开发安全建设中的落地思路

开源代码的使用大幅度提高软件研发效率、缩短上市时间、降低开发成本，但是开源软件中存在的大量缺陷、甚至安全漏洞也

安全乐观主义·2025-05-17 00:52

Trivy：让你时刻掌控的开源安全扫描器

随着应用程序的复杂性增加，其可能带来的安全漏洞也在不断增多。如何快速、准确地发现这些潜在威胁是每个开发者和运维人员心中的课题。今天，我们将为大家介绍一个开源的安全扫描工具——Trivy。

人工智能我来了·2025-05-17 00:19

网站安全防御

一、防止XSS攻击XSS（跨站脚本攻击）是一种常见的网络安全漏洞，攻击者通过在目标网站中注入恶意脚本，来获取用户的敏感信息或执行其他恶意操作。

执梦起航·2025-05-16 23:13

大模型越狱：技术漏洞与安全挑战——从原理到防御

大模型越狱是指利用模型的逻辑漏洞或训练缺陷，通过特定输入（如提示词、对抗样本等）突破其预设的安全机制，使其

JXY_AI·2025-05-16 22:11

如何获取软件安全检测报告

使用自动化工具：借助市场上可用的安全扫描工具进行初步检测，如漏洞扫描工具、模糊测试工具等，以提高检测效率和准确性。但要注意，自动化工具的检测结果可能存在一定的误报和漏报，需结合人工审查进行验证和补充。

极创信息·2025-05-16 20:53

AWS CloudHSM：金融级密钥安全管理实战，如何通过FIPS 140-2认证守护数据生命线？

数据泄露平均成本430万美元，加密漏洞成头号杀手！当《数据安全法》撞上金融科技合规，开发者如何用硬件安全模块（HSM）构建不可破解的密钥堡垒？

AWS官方合作商·2025-05-16 18:03

网络程序设计中的安全漏洞与恶意代码的防范

本章详细分析了三种常见的网络程序设计安全漏洞，并探讨了恶意代码对计算机系统的潜在危害。通过了解这些漏洞，我们可以更好地设计出安全稳定的网络应用程序，并采取有效措施防范恶意代码的攻击。

竹石文化传播有限公司·2025-05-16 17:29

静态代码深度扫描详解

静态代码深度扫描是一种通过分析源代码结构、语法、语义及潜在逻辑，在不运行程序的情况下全面检测代码缺陷、安全漏洞和质量问题的技术。

默然zxy·2025-05-16 14:03

跨平台物联网漏洞挖掘算法评估框架与实现结题报告附录项目工作原始记录文献综述静态分析技术

3、静态分析技术通用静态程序分析技术的分析对象是源代码或二进制代码。然而,由于物联网设备程序是商业程序,很少有厂商公开源代码和文档,通常只能获取固件以用于静态分析。固件是物联网设备中的软件系统,实现对设备特定硬件底层的控制。固件通常包含操作系统、文件系统、用户程序,或者本身就是一个可执行程序。而本项目中，我们所采用的是有奇安信所提供的一百个固件数据集。因此,静态程序分析技术从物联网设备固件开始,通

XLYcmy·2025-05-16 09:01

跨平台物联网漏洞挖掘算法评估框架与实现结题报告附录项目工作原始记录文献综述通用漏洞挖掘技术、物联网设备漏洞挖掘的挑战和机遇

1、通用漏洞挖掘技术通用漏洞挖掘技术根据分析对象主要分为两大类:基于源代码的漏洞挖掘和基于二进制的漏洞挖掘[1]。

XLYcmy·2025-05-16 09:31

MySQL数据库的安全性防护

文章目录前言一、用户权限管理二、密码安全三、网络安全四、数据加密五、定期备份与恢复六、审计与监控七、系统更新与漏洞修复八、应用层安全九、安全配置最佳实践前言要保证MySQL数据库的安全性，需从多个层面进行防护

小白教程·2025-05-16 08:50

修复Tomcat漏洞CVE-2025-24813

1.漏洞描述ApacheTomcat在特定配置下存在反序列化漏洞。攻击者可通过构造恶意请求，利用文件会话持久化机制将恶意序列化数据写入服务器，并在后续请求中触发反序列化操作，从而导致远程代码执行。

zhougl996·2025-05-16 06:37

【HTTPS基础概念与原理】SSL/TLS协议演进史：从SSLv3到TLS 1.3

以下是SSL/TLS协议演进史的详细解析，从SSLv3到TLS1.3，涵盖各版本的核心特点、重大漏洞及淘汰原因：1.SSLv3（SecureSocketsLayer3.0）•发布时间：1996年（Netscape

Think Spatial 空间思维·2025-05-16 05:28

谷歌曾经的开放重定向漏洞(如今已经修复) -- noogle DefCamp 2024

题目描述:上周，我决定创建自己的搜索引擎。这有点难，所以我背上了另一个。我也在8000端口上尝试了一些东西。未发现题目任何交互,但是存在一个加密jsconst_0x43a57f=_0x22f9;(function(_0x3d7d57,_0x426e05){const_0x16c3fa=_0x22f9,_0x318780=_0x3d7d57();while(!![]){try{const_0x52f

A5rZ·2025-05-16 02:07

Hacker-基础学习(1)

其本质在于所有的程序都有漏洞，世界上不存在完美的程序。大部分的Web漏洞分为以下几种1.不完善的身份

weixin_34081595·2025-05-15 23:16

VMware补丁下载VMSA-2025-0004 CVE-2025-22224 CVE-2025-22225 CVE-2025-22226

2025年3月5日VMware-ESXi等多组件存在缓冲区溢出等安全漏洞，漏洞编号：CVE-2025-22224，漏洞威胁等级：严重。

vmware爱好者·2025-05-15 21:33

Python：渗透测试开源项目【源码值得精读】

sql注入工具：sqlmapDNS安全监测：DNSRecon暴力破解测试工具：patatorXSS漏洞利用工具：XSSerWeb服务器压力测试工具：HULKSSL安全扫描器：SSLyze网络Scapy:

ncafei·2025-05-15 19:44

推荐频道

漏洞