漏洞poc

Docker Hub仓库介绍

DockerHub仓库全解析:从公共市场到私有化部署指南一、DockerHub公共镜像市场1.1核心功能解析全球最大容器镜像库:累计托管超500万镜像核心服务矩阵:官方认证镜像自动化构建漏洞扫描服务Webhook
星垣矩阵架构师·2025-06-15 08:22

【一文看懂Nacos鉴权机制】Nacos服务端身份认证机制深度解析:从漏洞修复到生产实践

本文基于Nacos官方文档及社区安全实践,系统解析nacos.core.auth.server.identity.key/value的核心作用、配置逻辑与落地策略,助你构建安全的微服务治理体系。一、历史背景:为什么需要身份认证机制?早期Nacos(≤1.4.0版本)通过User-Agent请求头中的Nacos-Server标识判断服务端请求。该方案存在两大风险:伪造风险:攻击者可修改User-Ag
雨果talk·2025-06-15 04:25

五.区块链的分叉与升级——演进之路

与任何软件一样,区块链协议也需要不断迭代和升级来修复漏洞、增加功能或提升性能。然而,在一个没有中央管理员、由成千上万个对等节点组成的去中心化系统中,如何协调一致地完成升级?答案就是“分叉”。
木鱼时刻·2025-06-15 04:25

S2B2B模式的困境 当批发订货系统遇上多供应商...

一方面,平台需承载海量企业敏感信息(如客户身份、交易金额、库存动态、生产工艺参数等),若安全防护措施(如加密算法、权限管控、审计追踪)存在漏洞,可能导致数据泄露、篡改或越权访问,直接引发商业机密泄露、客户隐私滥用
核货宝订货系统·2025-06-15 03:16

网络安全之分析研判技术

可以让一家公司的年利润化成了泡影;若攻击政企单位,将会造成办理日常业务受阻和政企单位自身系统收到损害,影响正常社会运转人身安全.云时代,甚至未来的IOT时代,安全将影响每个人的生命安全.例如:黑客利用漏洞查看病人信息
yunshang_secure·2025-06-15 02:40

SpringBoot SpEL RCE漏洞分析

SpringBootSpELRCE前言最近一段时间学习Spring系列的漏洞,跟着Github上的资源学习https://github.com/LandGrey/SpringBootVulExploit
0x6b79·2025-06-15 02:09

智能合约安全专题(一):什么是重入攻击?——从 DAO 事件谈起

重入攻击(ReentrancyAttack)是一种利用智能合约执行过程中“外部调用未完成就重复进入当前函数”的漏洞,攻击者可以在未更新状态前多次调用目标函数,从而重复提取资金或资源。
野声程序员·2025-06-15 01:01

微信小程序渗透测试方案,从零基础到精通,收藏这篇就够了!_小程序安全测试

本文将深入探讨微信小程序渗透测试的方案,从测试准备、测试方法、测试步骤到漏洞修复,全方位解析如何有效地进行渗透测试。一、引言微信小程序由前端的视图层(WXML和WXSS)和逻
程序员肉肉·2025-06-14 23:44

Redis相关漏洞记录

不是很了解Redis数据库,粗浅学了一下Redis应该是以键值对的方式存储数据的Redis默认端口:6379Redis相关操作连接远程服务器:redis-cli-h[目标IP]-p[端口]-a[密码]#其中redis-cli为redis远程连接的客户端settestkey"tt"         #设置键tt的值为字符串 gettt               #获取键tt的内容setid 1  
心都冷了·2025-06-14 19:46

【DVWA系列】——JavaScript——High详细教程

Author:枷锁文章目录漏洞核心原理分析Token生成流程(还原后)完整Token生成路径逐步攻击教程方法一:控制台手动执行方法二:分步计算Token值方法三:自动化攻击脚本技术原理详解防御措施与修复建议防御措施与修复方案
枷锁—sha·2025-06-14 17:37

从 Log4j 到 typescript-eslint:开源软件供应链安全威胁情报深度解析与实践指南

风险全景图与核心威胁剖析▐供应链攻击入口模型攻击阶段攻击方式典型示例开发环节上游仓库投毒event-stream恶意包事件分发环节公共仓库劫持PyPI库的dependency-confusion依赖管理环节合法包漏洞利用
梦玄海·2025-06-14 17:00

【术语解释】网络安全((SAST, DAST, SCA, IAST),Hadoop, Spark, Hive 的关系

它是一个广受认可的意识文档,旨在帮助开发人员和安全专业人员识别和缓解常见的安全漏洞。CWE(CommonWeaknessEnumerati
2301_79306982·2025-06-14 16:29

初学者对训练神经网络的疑问

例如batchsize=8,那模型每次只处理8张,叫做“一个batch”如果共有10,000张训练图,那么一个epoch会包含10,000÷8=1250个batch2
shuise_9527·2025-06-14 11:49

Metasploit Framework(MSF)核心知识解析

其核心定位为模块化的安全漏洞验证与利用平台,集成了渗透测试全流程所需工具链。
lubiii_·2025-06-14 07:33

sqlmap 的基本用法

sqlmap是一款开源的渗透测试工具,旨在自动化检测和利用SQL注入漏洞,并接管数据库服务器。
海尔辛·2025-06-13 22:33

FP独立站安全收款实战手记:血泪教训换来的避坑指南

在跨境创业的荆棘之路上,我曾因支付系统漏洞导致单日37万美元流水被冻结,也目睹过同行因税务合规问题一夜之间账户清零。这些惨痛经历让我深刻认识到:安全收款绝非技术问题,而是一场需要精密布局的生存之战。
·2025-06-13 21:56

Kubernetes服务安全加固

安全加固方案确保镜像没有安全漏洞在部署前,应该确保所有的操作系
寰宇001·2025-06-13 17:29

6.13打卡

@浙大疏锦行DAY51复习日作业:day43的时候我们安排大家对自己找的数据集用简单cnn训练,现在可以尝试下借助这几天的知识来实现精度的进一步提高对猫狗数据集进行训练Epoch50/50完成|耗时:32.76s
丁值心·2025-06-13 15:41

XML 注入与修复

XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。
zqmattack·2025-06-13 08:52

渗透测试工程师面试题(最全总结)

,社工准备等)子域名收集,旁站,C段等googlehacking针对化搜索,pdf文件,中间件版本,弱口令扫描等扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等传输协议,通用漏洞
Pluto-2003·2025-06-13 08:50

Jenkins-Remoting 任意文件读取漏洞(CVE-2024-43044)

0x01漏洞描述:Jenkins是一个开源的、提供持续集成服务(CI)的软件平台。
iSee857·2025-06-13 02:43

网络战时代的国家安全:策略、技术和国际合作

网络战的策略主要包括网络安全防御技术、加密技术、网络漏洞与弱点、网络情报与侦查、网络攻击手段、红队演练、网络战略规划等。网络战技术网络战
·2025-06-12 21:34

深入探析跨链桥智能合约攻击面:从协议层到字节码的漏洞猎取

跨链桥架构的致命七寸当前主流跨链桥的三大核心架构隐含着不同攻击面:锁仓+铸造模型(如PolygonPoS桥)攻击向量:伪造MerkleProof签名验证(参见Wormhole3.2亿美元事件)solidity//典型验证函数漏洞
梦玄海·2025-06-12 18:06

云原生安全实践:CI/CD流水线集成DAST工具

DevSecOps中的动态安全测试一、基础概念1.DevSecOpsDevSecOps是将安全性(Security)融入开发(Dev)和运维(Ops)全流程的方法论,目标是实现“安全左移”,即在开发早期发现并修复漏洞
炎码工坊·2025-06-12 04:24

weblogic漏洞复现(CVE-2020-2555)

漏洞环境:fofa自己找,server=weblogicport=7001一、漏洞简介该反序列化的gadget存在与coherence包中。
墨痕诉清风·2025-06-12 01:43

Centos7下的MySQL部署

然而,随着CentOS官方停止维护,其软件源更新滞后、安全漏洞修复不及时等问题日益凸显。尤其是在部署MySQL8.0时,用户往往会遇到镜像源失效、GPG签名验证失败等棘手问题。
Detachym·2025-06-11 15:04

2025年渗透测试面试题总结-小鹏[实习]安全工程师(题目+回答)

安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。目录小鹏[实习]安全工程师1.自我介绍2.有没有挖过src?
独行soc·2025-06-11 14:26

Redis 哨兵模式

选举领导者哨兵的过程5.故障后恢复过程6.实现原理二、实验案例环境三、搭建基础环境四、部署Redis主从五、部署哨兵节点1.部署哨兵2.修改配置文件3.编写服务脚本4.查看哨兵状态信息5.故障转移6.查看哨兵epoch
伤不起bb·2025-06-11 12:14

Shellshock漏洞与永恒之蓝(WannaCry)勒索病毒深度分析

Shellshock漏洞与永恒之蓝(WannaCry)勒索病毒深度分析Shellshock漏洞分析漏洞概述Shellshock(又称Bashdoor)是2014年9月发现的GNUBashshell中的一系列严重安全漏洞
Bruce_xiaowei·2025-06-11 06:25

深度剖析OpenSSL心脏滴血漏洞与Struts2远程命令执行漏洞

深度剖析OpenSSL心脏滴血漏洞与Struts2远程命令执行漏洞前言在网络安全领域,漏洞的发现与修复是永恒的主题。
Bruce_xiaowei·2025-06-11 05:51

nginx 配置403页面(已亲测)

问题:GET请求访问漏洞url即可看到泄露的内网ip解决方式:1.配置nginx不显示真实Ip2.限制接口只能是POST请求具体配置:编写一个403.html在nginx的配置文件中,配置location
devil_mf·2025-06-11 05:18

python反序列化+沙箱逃逸++js+redis

草文,发上来挂着python反序列化Python反序列化漏洞与沙箱逃逸-个人学习分享Python反序列化浅析-腾讯云开发者社区-腾讯云pickle反序列化PythonPickle序列化格式的协议0/1/
DDL07·2025-06-10 21:22

XXE漏洞简介

目录漏洞原理漏洞危害前置知识XML简介DTD简介DTD的两种声明方式实体实体分类内置实体(Built-inentities)字符实体(Characterentities)通用实体(Generalentities
月敛苏时意·2025-06-10 14:00

XXE漏洞基础知识

漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。下面我们主要介绍PHP语言下的XXE攻击。文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。]]]
Le叶a子f·2025-06-10 14:59

K8S主机漏洞扫描时检测到kube-服务目标SSL证书已过期漏洞的一种永久性修复方法

1、背景PaaS平台102xx、102xx端口检测到目标SSL证书已过期漏洞,分别对应kube-controller-manager证书、kube-scheduler证书。
斯普信云原生组·2025-06-10 06:36

你工作中涉及的安全方面的测试有哪些怎么回答

以下是结构化回答建议:---###**1.分类说明安全测试范围**####**(1)Web应用安全测试**-**OWASPTop10漏洞**:-**SQL注入**:使用`sqlmap`或手动构造恶意输入
是曼曼呀·2025-06-10 04:26

Linux服务器漏洞修复—OpenSSH升级到9.8(CentOS 7.6)

离线安装包提取地址链接:百度网盘请输入提取码提取码:uaio一:查看版本和下载1.1所需安装包目录1.2:查看系统openssh包rpm-qa|grepopenssh1.3:查看版本ssh -V1.4:下载地址Indexof/pub/OpenBSD/OpenSSH/portable/二:安装telnet建议安装,如果你升级到一半,VPN突然掉了,或者网络断开,你就连不上xshell了,如果安装了t
罗曼蒂克笑往事·2025-06-10 04:49

OpenHands:解放双手,让AI替你写代码!

OpenHands是一个开源的AI驱动的软件开发代理平台,它集成了多种AI功能,如代码编写、安全漏洞检测、工作流程自动化等,旨在帮助开发者减少编码工作量,提高开发效率,并促进创新,同时支持与各种大型语言模型提供商的兼容性
开源项目精选·2025-06-09 18:16

漏扫项目篇&Poc开发&Rule语法&反链判断&不回显检测&Yaml生成

#Xray-Poc开发-数据回显&RCE不回显&实验室1、开发参考:https://poc.xray.cool/https://docs.xray.cool/#/guide/READMEhttps://
我最厉害。,。·2025-06-09 17:05

源的企业级网络安全检测工具Prism X(棱镜X)

PrismX(棱镜X)是由yqcs团队自主研发的开源网络安全检测解决方案,专注于企业级风险自动化识别与漏洞智能探测。
舰长115·2025-06-09 15:24

HTTP CRLF注入攻击

了解这种安全漏洞有助于我们更好地保护我们的应用程序和用户数据。什么是CRLF?
·2025-06-09 10:21

漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入(CVE-2023-25194)

系列简介:漏洞真实影响分析是墨菲安全实验室针对热点漏洞的分析系列文章,帮助企业开发者和安全从业者理清漏洞影响面、梳理真实影响场景,提升安全应急响应和漏洞治理工作效率。
墨菲安全·2025-06-09 10:17

AFC自动售检票系统终端业务软件综合测试方案

检测潜在安全漏洞,保证交易数据的安全性。提供系统的全面质量评估,支持系统上线或升级决策。
Ray_1997·2025-06-09 08:31

DragonForce利用SimpleHelp漏洞在终端部署勒索软件

根据Sophos的分析,攻击者很可能利用了2025年1月披露的SimpleHelp三个安全漏洞(CVE-2024-57727、CVE-2024-57728和CVE-2024-57726)来访问MSP的Si
FreeBuf-·2025-06-09 02:53

2025软件供应链安全最佳实践|互联网行业软件供应链安全建设的SCA纵深实践方案

某互联网大厂的核心安全研究团队,通过深度应用软件成分分析(SCA)技术,构建了一套覆盖开源组件全生命周期管理的安全审计体系,有效解决了开源依赖带来的供应链攻击、漏洞滞后修复等难题。
·2025-06-09 02:52

shiro、struts2、weblogic特征流量分析

文章目录一、Shiro漏洞流量特征1.**身份验证阶段的特征**2.**攻击阶段的特征**3.**检测与防御建议**二、Struts2漏洞流量特征1.**请求特征**2.**响应特征**3.
桑晒.·2025-06-08 23:00

大模型训练新范式:隐私增强联邦学习架构与工程实践

一、传统联邦学习为何无法满足大模型隐私需求当前主流联邦学习框架如FedAvg在面对大模型时存在显著短板:python#标准FedAvg参数聚合伪代码暴露关键漏洞global_model=initialize_model
尘烬海·2025-06-08 23:55

团队开发下的 iOS 安全盲区:我们是如何用 Ipa Guard 强化 IPA 防护的

尤其在多团队协作或项目交接场景下,一些我们曾经以为“安全的”交付,可能正在悄悄留下漏洞。这篇文章不谈理论,只聊我们团队实际遇到的问题,以及用工具组合(特别是IpaGuard)解决的方式。
2501_91592143·2025-06-08 19:31

未经授权访问漏洞综述与编程

未经授权访问漏洞综述与编程在网络安全领域中,未经授权访问漏洞是指攻击者未经授权地获取系统或应用程序的敏感信息或执行未经授权的操作。这类漏洞可能导致泄露用户数据、系统瘫痪或远程执行恶意代码等危害。
架构魔术·2025-06-08 16:43

Web安全深度解析:源码泄漏与未授权访问漏洞全指南

Web安全深度解析:源码泄漏与未授权访问漏洞全指南引言:不可忽视的Web安全"暗礁"在Web应用安全领域,源码泄漏和未授权访问漏洞如同海面下的暗礁,看似不起眼却足以让整艘"企业安全之船"触礁沉没。
Bruce_xiaowei·2025-06-08 16:43
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他