E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
目录遍历漏洞
41、WEB攻防——通用
漏洞
&XML&XXE&无回显&DTD实体&伪协议&代码审计
文章目录XXE原理&探针&利用XXE读取文件XXE带外测试XXE实体引用XXE挖掘XXE修复参考资料:CTFXXEXXE原理&探针&利用XXE用到的重点知识是XML,XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE(XMLExternalEntityInjectio
PT_silver
·
2024-02-01 06:47
小迪安全
前端
xml
网络
记一次Dubbo版本升级历程
1.背景发现Dubbo低版本安全问题,要求各业务团队升级dubbo版本到安全的版本(2.7.22及以上版本)原因是因为dubbo泛型调用时存在反序列化
漏洞
,可能导致恶意代码执行。
M.Rambo
·
2024-02-01 06:39
dubbo
java
后端
分布式
苹果修复2024年遭利用的第1个0day
漏洞
编译:代码卫士苹果发布安全更新,修复了今年的第一个遭利用0day
漏洞
,影响iPhone、Mac和AppleTV等。
奇安信代码卫士
·
2024-02-01 06:57
浅谈SQL注入的四种防御方法
SQL注入真的算是web
漏洞
中的元老了,著名且危害性极大。下面这里就简单的分享一下我总结的四种SQL注入防御手段,加深理解,方便下次遇到这种问题时可以直接拿来使用。
买Lemon也用劵
·
2024-02-01 04:29
SQL注入
php
web安全
制度不完善,谁受益,谁倒霉?
(制单员和库房人员不在一个楼层办公),乍听起来,这个问题似乎不值得一提,有些小题大做,但实际上这种类似的问题在职场中太普遍了,说白了就是职责不够清晰,制度有
漏洞
。
职场红与黑
·
2024-02-01 04:17
漏洞
原理 SQL 注入
OWASP
漏洞
原理启航(第一课)-CSDN博客OWASP
漏洞
原理<最基础的数据库第二课>-CSDN博客环境准备压缩包解压小皮面板(phpstudy
人生的方向随自己而走
·
2024-02-01 03:22
漏洞攻防
笔记
安全
CSRF
漏洞
学习
CSRF
漏洞
原理web应用程序在用户进行敏感操作时,如修改账号密码,添加账号,转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用被攻击者的身份完成对应的而已请求
yytester
·
2024-02-01 03:33
恐怖的洗劫存款,新一轮安全隐患来了!
最近,一个叫“老骆驼”的信息安全专家手机被偷,揭开了移动支付的巨大
漏洞
!短短一天,他的银行卡、信用卡、支付宝、微信支付、美团支付、苏宁金融……全部遭
财富人生
·
2024-02-01 02:35
Redis未授权访问
漏洞
Redis是一种使用ANSIC语言编写的开源Key-Value型数据库。与Memcache相似,支持存储的value类型有很多种,其中包括String(字符串)、List(链表)、Set(集合)、Zset(有序集合)、Hash(哈希)等。同时,Redis还支持不同的排序方式。Redis为了保证效率,将数据缓存在内存中,周期性地把更新的数据写入磁盘或者把修改操作写入追加的记录文件中,在此基础上实现了
Lyx-0607
·
2024-02-01 02:36
笔记
云安全中常见的云
漏洞
最新的研究数据揭示,云安全
漏洞
可能导致的数据泄露,不仅会给企业带来财
德迅云安全_初启
·
2024-02-01 00:25
网络
运维
数据库
云安全问题成为不容忽视的焦点
最新的研究数据揭示,云安全
漏洞
可能导致的数据泄露,不仅会给企业带来财
德迅云安全_初启
·
2024-02-01 00:24
网络
运维
数据库
电脑服务器
漏洞
有何影响?怎么修复?
一、什么是电脑服务器
漏洞
电脑服务器
漏洞
是指在计算机服务器软、硬件中存在的
漏洞
或弱点,黑客或病毒利用这些
漏洞
可以入侵服务器系统,获取机密信息,破坏服务器的稳定和安全性。
德迅云安全_初启
·
2024-02-01 00:23
服务器
网络
安全
Docker安全以及https协议
目录1.Docker容器与虚拟机的区别隔离与共享性能与损耗2.Docker存在的安全问题Docker自身
漏洞
Docker源码问题黑客上传恶意镜像镜像使用有
漏洞
的软件中间人攻击篡改镜像3.Docker架构缺陷与安全机制容器之间的局域网攻击
Ybaocheng
·
2024-02-01 00:09
docker
安全
容器
通达OA 身份认证绕过
漏洞
复现
二、
漏洞
描述该平台存在身份认证绕过
漏洞
,攻击者通过构造特定的数据包,获取登录cookie,利用cookie进行未授权访问。三、影响范围OA版本<=2016四、复现环境F
明丨通
·
2024-01-31 23:07
网络安全
漏洞
复现说明
CSDN发不出来的会放到这里https://www.yuque.com/u34516370/hi2ux9
明丨通
·
2024-01-31 23:07
笔记
用友U8CRM help2.php 任意文件读取
漏洞
复现
前言免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。一、产品简介用友U8CRM是一款针对代理销售服务行业设计的管理软件,它集客户关系管理(CRM)、呼叫中心和办公自动化(OA)核心应用于一体,提供前端营销、后端业务处理及员工管理的一体化解决方案
明丨通
·
2024-01-31 23:07
php
开发语言
网络安全
大华智慧园区综合管理平台任意密码读取
漏洞
复现
二、
漏洞
描述由于该平台未对接口权限做限制,攻击者可以从user_getUserInfoByUserName.action接口获取任意用户密码(MD5格式)三、影
明丨通
·
2024-01-31 23:37
网络安全
海康威视isecure center 综合安防管理平台任意文件上传
漏洞
复现
前言此文章仅用于技术交流,严禁用于对外发起恶意攻击!!!一、产品简介HIKVISIONiSecureCenter综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISIONiSecureCenter平台基于“统一软件技术架构”先进理念设计
明丨通
·
2024-01-31 23:37
网络安全
【
漏洞
复现】宏景ehr-hcm-fileDownLoad-sql注入
目录0x01产品简介0x02
漏洞
概述0x03网络测绘0x04
漏洞
复现0x05Nucle0x01产品简介
青衫R
·
2024-01-31 23:36
漏洞复现
web安全
【
漏洞
复现】宏景ehr-hcm-loadhistroyorgtree-sql注入
目录0x01产品简介0x02
漏洞
概述0x03网络测绘0x04
漏洞
复现0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效
青衫R
·
2024-01-31 23:06
漏洞复现
web安全
【
漏洞
复现】宏景ehr-hcm-khfieldtree-sql注入
目录0x01产品简介0x02
漏洞
概述0x03网络测绘0x04
漏洞
复现0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效
青衫R
·
2024-01-31 23:06
漏洞复现
sql
数据库
【
漏洞
复现】宏景ehr-trainplan-tree-sql注入
目录0x01产品简介0x02
漏洞
概述0x03网络测绘0x04
漏洞
复现0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保
青衫R
·
2024-01-31 23:06
漏洞复现
web安全
宏景eHR get_org_tree.jsp SQL注入
漏洞
复现
产品简介宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件.
漏洞
概述宏景eHRzp_options/get_org_tree.jsp接口处存在SQL
keepb1ue
·
2024-01-31 23:36
漏洞复现
sql
web安全
安全
【
漏洞
复现】宏景ehr-hcm-view-sql注入
目录0x01产品简介0x02
漏洞
概述0x03网络测绘0x04
漏洞
复现0x05Nuclei0x01产品简介宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。
青衫R
·
2024-01-31 23:36
漏洞复现
sql
数据库
【复现】宏景EHR SQL注入
漏洞
_32
目录一.概述二.
漏洞
影响三.
漏洞
复现1.
漏洞
一:四.修复建议:五.搜索语法:六.免责声明一.概述宏景EHR从基础事务、业务协同、人才战略、HR商务智能、集成应用五个层面构建e-HR系统,包括组织机构、岗位管理
穿着白衣
·
2024-01-31 23:35
安全漏洞
安全
web安全
系统安全
网络安全
数据库
宏景eHR FrCodeAddTreeServlet SQL注入
漏洞
复现(含nuclei-POC)
二、
漏洞
描述宏景eHRFrCodeAddTreeServlet接口处存在SQL注入
漏洞
,未经过身份认证的远程攻击者可利用此
漏洞
执
0xOctober
·
2024-01-31 23:35
漏洞复现
安全
web安全
网络安全
新手入门Web安全的学习路线
学习Web安全需要掌握Web安全相关概念、渗透测试相关工具、渗透实战操作、熟悉Windows/KaliLinux、中间件和服务器的安全配置、脚本编程学习、源码审计与
漏洞
分析、安全体系设计与开发等等。
中年猿人
·
2024-01-31 23:35
web安全
学习
安全
宏景eHR FrCodeAddTreeServlet SQL注入
漏洞
复现
二、
漏洞
描述该系统FrCodeAddTreeServlet接口存在SQ
明丨通
·
2024-01-31 23:34
sql
数据库
网络安全
万户 ezOFFICE SendFileCheckTemplateEdit.jsp SQL注入
漏洞
0x02
漏洞
概述万户ezOFFICESendFileCheckTemplateEdit.jsp
OidBoy_G
·
2024-01-31 23:04
漏洞复现
安全
web安全
万户 ezOFFICE DocumentEdit.jsp SQL注入
漏洞
复现
0x02
漏洞
概述万户ezOFFICEDocumentEdit.jsp存在SQL注入
漏洞
。由于'
OidBoy_G
·
2024-01-31 23:03
漏洞复现
安全
web安全
万户 ezOFFICE DocumentEditExcel.jsp SQL注入
漏洞
0x02
漏洞
概述万户ezOFFICEDocumentEditExcel.jsp接口存在SQL注
OidBoy_G
·
2024-01-31 23:02
漏洞复现
安全
web安全
密码修改
漏洞
描述:密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。
TOPKK7
·
2024-01-31 23:52
应急响应-常规处置方法
有一类勒索病毒会通过系统
漏洞
或弱密码向其他服务器/主机传播,如WannaCry勒索病毒,一旦有一台服务器/主机感染
岁月冲淡々
·
2024-01-31 22:04
网络
安全
《读懂一本书》读书笔记Day3
其中,归纳法带来的结论,是我们要警惕的,而演绎法推理的过程,是没有
漏洞
的,基本上是正确的。逻辑能力在现今时代弥足珍贵,因为我们的大脑都有惰性,特别得懒,大脑最主要的习惯,就是
宝儿小行星
·
2024-01-31 22:58
2018-08-06-Struts2 Freemarker tags 远程代码执行
漏洞
(S2-053)
1.
漏洞
描述:
漏洞
名称:Struts2Freemarkertags远程代码执行
漏洞
(S2-053)
漏洞
CVE编号:CVE-2017-12611
漏洞
影响版本:Struts2.0.1-Struts2.3.33
最初的美好_kai
·
2024-01-31 21:24
Django开发_12_URL反向解析、重定向
一、基本概念反向解析是为了简便步骤,使代码更具可读性更优雅,重定向是防止重复提交相同数据造成资源浪费,甚至防御
漏洞
。
19半城煙沙93
·
2024-01-31 21:21
#
Django开发
django
python
后端
由《幻兽帕鲁》私服
漏洞
引发的攻击面思考
《幻兽帕鲁》私服意外丢档当了一天的帕鲁,回家开机抓帕鲁的时候发现服务器无法连接。运维工具看了下系统负载发现CPU已经跑满。故障排查登录服务器进行排查发现存在可疑的docker进程。经过一番艰苦的溯源,终于在命令行历史中发现了端倪攻击者为了实现挖坑的收益最大化,删除了服务器上的所有docker,并启动了一个挖坑进程。恰巧帕鲁的私服也是通过docker的方式进行的部署,惨遭波及。想到我辛苦一小时抓的海
托尔斯泰11
·
2024-01-31 20:30
网络安全
CVE-2024-0882 Scrm LinkWeChat 任意文件读取
漏洞
分析与研究
漏洞
描述LinkWeChat是基于企业微信的开源SCRM系统,是企业私域流量管理与营销的综合解决方案。
昵称还在想呢
·
2024-01-31 20:50
java代码审计
安全
web安全
java
漏洞
复现--Likeshop任意文件上传(CVE-2024-0352)
免责声明:文章中涉及的
漏洞
均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。
芝士土包鼠
·
2024-01-31 20:49
漏洞复现
web安全
网络安全
安全
CVE-2024-0738 Mldong ExpressionEngine RCE
漏洞
分析
漏洞
描述Avulnerability,whichwasclassifiedascritical,hasbeenfoundin????
昵称还在想呢
·
2024-01-31 20:49
java代码审计
java
web安全
安全
开发语言
spring
boot
CVE-2022-27925 Zimbra任意文件上传
漏洞
复现
目录0x01声明:0x02简介:0x03
漏洞
概述:0x04影响版本:0x05环境搭建:环境准备:环境搭建:0x06
漏洞
复现:利用POC:0x07流量分析:0x08修复建议:0x01声明:仅供学习参考使用
Evan Kang
·
2024-01-31 20:18
漏洞复现【Free】
CVE-2022-27925
网络安全
安全威胁分析
web安全
likeshop开源免费商用电商系统存在任意文件上传
漏洞
CVE-2024-0352
1.likeshop开源免费商用电商系统简介微信公众号搜索:南风
漏洞
复现文库该文章南风
漏洞
复现文库公众号首发likeshop开源免费商用电商系统2.
漏洞
描述Likeshop是Likeshop开源的
sublime88
·
2024-01-31 20:47
漏洞复现
开源
安全
web安全
网络
GitHub 轮换密钥,以减轻 CVE-2024-0200
漏洞
带来的影响
BleepingComputer网站披露,GitHub轮换了12月份修补的
漏洞
可能泄露的密钥,
漏洞
被追踪为CVE-2024-0200,不仅允许威胁攻击者在未打补丁的服务器上远程执行代码,还支持威胁攻击者访问生产容器的环境变量
FreeBuf_
·
2024-01-31 20:16
github
CVE-2024-0352 likeshop v2.5.7文件上传
漏洞
分析
本次的
漏洞
研究基于thinkPHP开发开的一款项目.....
漏洞
描述Likeshop是Likeshop开源的一个社交商务策略的完整解决方案,开源免费版基于thinkPHP开发。
昵称还在想呢
·
2024-01-31 20:45
PHP代码审计
安全
web安全
php
CTFSHOW-文件上传
WEB151WEB152WEB153WEB154web155web156web157、158web159web160web161WEB162WEB163WEB164WEB165WEB166WEB167WEB168WEB169WEB170杂记大体思路图片木马原理:图片木马以文件上传
漏洞
为基本条件
_Monica_
·
2024-01-31 20:14
CTFSHOW
安全漏洞
网络安全
信息安全
安全基础~通用
漏洞
3
文章目录知识补充文件上传(1)ctfshow文件上传靶场练习150-161文件上传(2)ctfshow文件上传靶场练习162-170文件上传总结文件包含知识补充url编码:0a换行;20空格;3c左尖括号;3e右尖括号;23#;2b+;.htaccess文件是用于apache服务器下的控制文件访问的配置文件,因此Nginx下是不会生效的.htaccess可以控制错误重定向,初始页面设置,文件夹的访
`流年づ
·
2024-01-31 20:14
安全学习
安全
由《幻兽帕鲁》私服
漏洞
引发的攻击面思考
《幻兽帕鲁》私服意外丢档当了一天的帕鲁,回家开机抓帕鲁的时候发现服务器无法连接。运维工具看了下系统负载发现CPU已经跑满。故障排查登录服务器进行排查发现存在可疑的docker进程。经过一番艰苦的溯源,终于在命令行历史中发现了端倪攻击者为了实现挖坑的收益最大化,删除了服务器上的所有docker,并启动了一个挖坑进程。恰巧帕鲁的私服也是通过docker的方式进行的部署,惨遭波及。想到我辛苦一小时抓的海
Peggy·Elizabeth
·
2024-01-31 19:12
网络安全
信息搜集(外网打点必备)
信息搜集搜集什么信息1、whois信息(微步)2、网站架构3、dns信息(通过查询dns我们可以检测是否存在dns域传送
漏洞
)4、子域名搜集5、敏感目录及敏感信息、源码泄露(搜索引擎+工具)6、脆弱系统
小小邵同学
·
2024-01-31 19:57
网络安全
信息可视化
[GWCTF 2019]我有一个数据库(特详解)
一般页面读取乱码都可以这样解决他说什么都没有,先dirsearch扫一下先看看robots.txt里又啥查看phpinfo.php看看查看其他的吧,有个数据库看看去在界面可以查到各服务器的版本,可以去百度各版本服务器的
漏洞
这里就不一样查了
小小邵同学
·
2024-01-31 19:56
网络安全
linux
服务器
springCloud gateway 防止XSS
漏洞
springCloudgateway防止XSS
漏洞
一.XSS(跨站脚本)
漏洞
详解1.XSS的原理和分类2.XSS
漏洞
的危害3.XSS的防御二.Java开发中防范XSS跨站脚本攻击的思路三.相关代码(适用于
Slow菜鸟
·
2024-01-31 19:26
xss
web安全
安全
上一页
21
22
23
24
25
26
27
28
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他