越权漏洞

Git CLI高危任意文件写入漏洞(CVE-2025-48384)PoC已公开

GitCLI(命令行界面)中存在一个高危漏洞,攻击者可利用该漏洞在Linux和macOS系统上实现任意文件写入。目前该漏洞的概念验证(PoC)利用代码已公开。
FreeBuf-·2025-07-20 05:26

国产IP摄像头存在隐蔽后门,攻击者可获取Root权限

漏洞概述ShenzhenLiandianCommunicationTechnologyLTD生产的某款IP摄像头被曝存在高危漏洞(CVE-2025-7503)。
FreeBuf-·2025-07-20 05:56

面对微软AD的安全隐患,宁盾身份域管如何设计安全性

微软AD域安全漏洞带来的痛点部分企业客户选择宁盾身份域管的重要动因之一,正是微软AD域及WindowsServer长期存在的安全隐患。
宁盾Nington·2025-07-20 01:55

Java安全:SpringBoot项目中Fastjson组件的使用与安全实践

然而,Fastjson因其高性能而广受欢迎的同时,也因多次爆出的安全漏洞而备受关注。本文将介绍如何在SpringBoot项目中正确使用Fastjson,并讨论相关的安全实践。
rockmelodies·2025-07-20 01:52

提高互联网Web安全性:避免越权漏洞的技术方案

目录一、越权漏洞概述二、常见的越权漏洞类型三、越权漏洞的影响四、越权漏洞的技术解决方案一、越权漏洞概述越权(AuthorizationBypass)类漏洞是指在系统中,攻击者通过绕过身份验证或访问控制,
码农老起·2025-07-19 23:39

2018-08-07

清秋致远刚刚清静下来却被火辣辣的太阳挤到树荫下进行曲中的旋律表达着什么手捧鲜花的鸽子把春天举过头顶它要向大地演绎一场惊天动地的爱情风借来方向被一群客人阻拦所有的日子涌向街道关上门不是为了拒绝声响而是让疲惫好好释放时间囚禁的劳累一条鱼掉进泡沫里那是它呼出的空气左右撞击脱离不了水的困扰一首诗写完了却拟不出标题漏洞百出的书籍也能抒发写作者的情绪说着说着风抬来了一场雨我把故事搬进诗里讲述着当年的
清秋致远·2025-07-19 22:04

自我认知

四个大学生计划抢图书馆里的珍藏版图书,计划看起来也很周密,实施的却漏洞百出。根本无需警察费力,顺着他们留下的各种线索直接抓人。可见想象与实际之间的巨大差异。我们的大脑
遇见未来的我·2025-07-19 21:49

CVE-2005-4900:TLS SHA-1 安全漏洞修复详解

一、什么是CVE-2005-4900漏洞CVE-2005-4900定位于TLS协议中使用SHA-1作为消息认证和签名哈希算法的安全漏洞
Nova_CaoFc·2025-07-19 20:18

挖矿病毒(基于SMB漏洞传播)分析

网络中的计算机出现由SMB漏洞传播的挖矿病毒,基于目前黑客技术上流行的非PE攻击模式。攻击性质较为隐蔽,完全依赖Windows本身的系统组件。攻击目的较为单一,即通过消耗系统资源集中算力挖矿牟利。
艾旎米提颉·2025-07-19 20:14

九块九付费进群系统 wxselect SQL注入漏洞复现

0x02漏洞概述九块九付费进群系统wxselect接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码
0xSecl·2025-07-19 14:02

3步搞定Java漏洞修复?别再让黑客当“家”!

超萌技术攻略,轻松晋级编程高手技术宝库已备好,就等你来挖掘订阅墨瑾轩,智趣学习不孤单即刻启航,编程之旅更有趣Java城堡的“裂缝”与程序员的救赎想象一下:你的Java应用是一座巍峨的城堡,而安全漏洞就是那些悄悄蔓延的裂缝
·2025-07-19 12:53

全局 WAF 规则:构筑 Web 安全的坚固防线

动态更新:定期根据新漏洞(如Log4j、Spring漏洞)、攻击趋势更新规则库(如新增对特定EXP的检测
2501_91022519·2025-07-19 10:01

2021.8.26 回头望,一切都值得

1.工作节奏基本能在自己的掌控范围;2.布置工作有了一定的条理和规律;3.布置任务后没有那么的惊慌失措,生怕哪里出现纰漏和漏洞,引起质疑,有则改之无则加勉;4.对人的熟悉程度对开展工作帮助很大,一定程度上取得了一些人的进步
一便士的月光·2025-07-19 09:48

ssrf漏洞复现

目录基础环境查看phpinfo发现线索探测端口+gopher协议基础环境这里发现一些基础协议呗过滤掉了。但是有个提示的info,于是先看看查看phpinfo发现线索发现这台主机的地址了,于是猜测这个网段应该还有其他主机,试了一下172.21.0.1:80172.21.0.3:80果然如下(0.1是陷阱就不浪费时间了,)探测端口+gopher协议然后对这个172.21.0.3这个主机探测端口发现63
ξ流ぁ星ぷ132·2025-07-12 17:26

系统迁移从CentOS7.9到Rocky8.9

我有两台阿里云上的服务器是CentOS7.9,由于CentOS7已经停止支持,后续使用的话会有安全漏洞,所以需要尽快迁移,个人使用的话目前兼容性好的还是RockyLinux8,很多脚本改改就能用了。
·2025-07-12 16:20

程序员必看!如何破解数据篡改与逆向工程的双重困境

然而,黑客们却总能找到漏洞,篡改传输中的数据,导致程序运行出错,甚至引发严重的安全问题。那么,如何才能防止数据被篡改呢?数字签名:数据安全的“守护神”数字签名是一种基于密码学的
深盾科技·2025-07-12 15:11

2025年渗透测试面试题总结-2025年HW(护网面试) 43(题目+回答)

目录2025年HW(护网面试)431.自我介绍与职业规划2.Webshell源码级检测方案3.2025年新型Web漏洞TOP54.渗透中的高价值攻击点5.智能Fuzz平台架构设计6.堆栈溢出攻防演进7.
独行soc·2025-07-12 14:08

第三章:网络安全基础——构建企业数字防线

目录第三章:网络安全基础——构建企业数字防线3.1网络协议安全深度解析3.1.1TCP/IP协议栈安全漏洞图谱3.1.2关键安全协议剖析3.2网络攻击全景防御3.2.1OWASPTop102023最新威胁
阿贾克斯的黎明·2025-07-12 10:08

2025年网站源站IP莫名暴露全因排查指南:从协议漏洞到供应链污染

更严峻的是,60%的IP暴露并非配置失误,而是新型攻击手法与供应链漏洞的叠加结果——本文将揭示IP暴露的隐秘链条,并提供可落地的闭环解决方案。
·2025-07-12 08:54

2025年UDP洪水攻击防护实战全解析:从T级流量清洗到AI智能防御

反射放大攻击升级黑客通过劫持物联网设备(如摄像头、传感器)构建僵尸网络,利用DNS/NTP协议漏洞发起反射攻击,1Gbps请求可放大至50-500倍流量,峰值突破8Tbps。
上海云盾商务经理杨杨·2025-07-12 08:24

android沙箱逃逸漏洞,【技术分享】沙盒逃逸技术详解(一)

预估稿费:170RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿写在前面的话在过去的十多年里,针对恶意软件沙盒逃逸技术的分析已经成为了对抗高级持续性威胁的银弹,虽然这种技术变得越来越热门,但是恶意软件的开发者们似乎也找到了一种基于静态分析的方法(例如加密、混淆处理和反逆向保护等技术)来躲避传统反病毒安全工具的检测。因此,针对恶意软件沙盒逃逸技术的分析与研究已经成为了我们抵
weixin_40004051·2025-07-12 04:27

NodeJS VM2沙箱逃逸漏洞分析【CVE-2023-29199】

NodeJSVM2沙箱逃逸漏洞分析【CVE-2023-29199】简介Node.js是一个基于V8引擎的开源、跨平台的JavaScript运行环境,它可以在多个操作系统上运行,包括Windows、macOS
R3s3arcm·2025-07-12 04:27

【WEB安全】任意URL跳转

1.1.漏洞介绍URL跳转漏洞(URLRedirectionVulnerability)又叫开放重定向漏洞(OpenRedirectVulnerability),是一种常见的网络安全漏洞,它存在于许多网站和应用程序中
·2025-07-12 03:50

URL跳转漏洞总结(重定向漏洞

目录介绍绕过的方式本地CDIRDot十进制八进制十六进制添加0域名参数改造域混淆路径和扩展绕过常注射的参数利用方式工具介绍URL跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验
墨痕诉清风·2025-07-12 03:50

跳转漏洞检测工具汇总(重定向漏洞

目录简单介绍绕过方式及更多介绍工具介绍Oralyzer介绍主要功能使用缺点下载地址简单介绍URL跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞
墨痕诉清风·2025-07-12 03:50

HTTP注入、URL重定向漏洞验证测试

目录1.前言2.HTTP注入漏洞介绍3.URL重定向漏洞介绍4.HTTP注入漏洞验证5.URL重定向漏洞验证6.修复建议(1)针对HTML注入漏洞修复建议(2)针对URL重定向漏洞修复建议1.前言今天在公司使用
afei00123·2025-07-12 03:50

什么是URL 跳转漏洞(URL Redirection Vulnerability)

文章目录什么是URL跳转漏洞(URLRedirectionVulnerability)漏洞原理修复建议什么是URL跳转漏洞(URLRedirectionVulnerability)URL跳转漏洞(URLRedirectionVulnerability
西京刀客·2025-07-12 03:49

【DVWA系列】——SQL注入(时间盲注)详细教程

判断注入类型(字符型/数字型)2.猜解数据库名长度3.逐字符猜解数据库名4.猜解表名5.提取关键数据(以admin密码为例)三、自动化工具(sqlmap)1.基础命令2.常用操作四、防御措施分析(Low级别漏洞根源
一只枷锁·2025-07-11 21:12

深入理解跨站请求伪造(CSRF):原理、危害与防御

引言跨站请求伪造(Cross-SiteRequestForgery,CSRF)是一种常见的Web安全漏洞,攻击者通过伪装用户身份执行非授权操作。
weixin_47233946·2025-07-11 17:44

XSStrike 进行 XSS 漏洞测试

XSStrike是一个功能强大的XSS漏洞测试工具,专为检测、验证和利用反射型、存储型、DOM型XSS漏洞而设计,适合配合手工测试,也可用于自动化发现。️
·2025-07-11 16:07

——漏洞

这篇只讲国内漏洞挖掘这一点,在出洞数量上遥遥领先的一般是安全厂商的队伍,但是其中不乏高校、个人的身影。数据来源仅供参考,如果数据涉及错漏,欢迎指正。
网安导师小李·2025-07-11 15:32

GIT漏洞详解

Git漏洞主要分为两类:Git软件本身的安全漏洞和因配置不当导致的Git仓库泄露。
·2025-07-11 12:09

西门子SINEC NMS曝高危漏洞:存在权限提升与远程代码执行风险

西门子近日发布紧急安全公告,披露其工业级旗舰网络管理系统SINECNMS存在多个高危漏洞,影响4.0之前的所有版本。攻击者利用这些漏洞可获取管理员权限、执行任意代码或在关键基础设施网络中实施权限提升。
FreeBuf-·2025-07-11 09:45

Linux 权限提升漏洞(CVE-2025-6019):通过 udisksd 和 libblockdev 获取 root 权限(PoC 已公开)

SecureLayer7安全研究人员近日公布了一个影响Linux系统的安全漏洞(CVE-2025-6019)的技术细节和概念验证(PoC)利用代码。
FreeBuf-·2025-07-11 09:45

Apache组件遭大规模攻击:Tomcat与Camel高危RCE漏洞引发数千次利用尝试

漏洞态势分析帕洛阿尔托网络公司Unit42团队最新研究报告显示,针对ApacheTomcat和ApacheCamel关键漏洞的网络攻击正在全球激增。
·2025-07-11 09:45

高危Lucee漏洞(CVE-2025-34074,CVSS 9.4):通过计划任务滥用实现认证RCE,Metasploit模块已公开

高性能开源CFML(ColdFusionMarkupLanguage)应用服务器Lucee近日曝出严重安全漏洞
·2025-07-11 09:45

MCP Inspector 高危远程代码执行漏洞威胁AI开发者(CVE-2025-49596)

漏洞概述2025年6月,Oligo安全研究团队披露了Anthropic公司ModelContextProtocol(MCP,模型上下文协议)框架核心调试工具MCPInspector中存在的高危远程代码执行
FreeBuf-·2025-07-11 09:14

网安面试题总结_1

外网外网打点的基本流程主要分为:靶标确认、信息收集、漏洞探测、漏洞利用、权限获取,其最终目的是为了获取靶标的系统权限/关键数据。而在整个打点流程中,信息收集较为重要。
安全君呀·2025-07-11 08:36

WebLogic 作用,以及漏洞原理,流量特征与防御

的核心作用:企业级别的应用服务器,相当于一个高性能的java环境主要功能:应用部署,事务管理,集群与负载均衡,安全控制,资源池化,消息中间件典型的使用场景:银行核心系统,电信计费平台,电商大促平台主要漏洞
Bigliuzi@·2025-07-11 07:31

如何升级Node.js版本:详细指南

随着Node.js的不断更新,及时升级到最新版本可以带来新特性、性能提升以及安全漏洞的修复。本文将详细介绍几种常见的Node.js升级方法,帮助你轻松完成版本更新。
川星弦·2025-07-11 06:56

智能防御原理和架构

智能防御系统通过**AI驱动的动态感知、主动决策与自治响应**构建自适应防护体系,其核心在于将被动规则匹配升级为**预测性威胁狩猎**,实现对新型攻击(如AI生成的0day漏洞利用)的有效遏制。
hao_wujing·2025-07-11 03:08

【网络安全】利用 Cookie Sandwich 窃取 HttpOnly Cookie

文章目录引言Cookie三明治原理解析ApacheTomcat行为Python框架行为窃取HttpOnly的PHPSESSIDCookie第一步:识别XSS漏洞第二步:发现反射型Cookie参数第三步:
秋说·2025-07-11 00:18

2025年渗透测试面试题总结-2025年HW(护网面试) 40(题目+回答)

目录2025年HW(护网面试)401.SQL注入读写文件/二次注入/防御2.XSS类型及防御3.CSRF与XSS区别4.文件上传绕过与防御5.服务器解析漏洞6.XXE与SSRF7.RCE与PHP函数区别
·2025-07-10 22:05

想转行网络安全,可以先看看过来人的建议

网络安全行业概况网络安全涵盖了从基础的脚本编写到高级的漏洞研究等多个层面。该领域包括但不限于:渗透测试、漏洞评估、恶意软件分析、入侵检测、信息安全管理等。
孤独的汤姆·2025-07-10 18:11

Kerberos 漏洞

前言Kerberos漏洞涉及多个关键安全缺陷,主要包括MS14-068提权漏洞、CVE-2024-43639远程代码执行漏洞,以及CVE-2025系列新披露漏洞
IT 青年·2025-07-10 17:33

初识.git文件泄露

如果想备份或复制一个版本库,只需把这个目录拷贝至另一处就可以了这是一种常见的安全漏洞,指的是网站的.git目录被意外暴露在公网上,导致攻击者可以通过访问.git目录获取网站的源代码、版本历史、配置文件等敏感信息
wyjcxyyy·2025-07-10 12:31

金融行业的等保测评要求

金融机构应该定期进行等保测评,及时发现和解决信息系统存在的安全问题和漏洞,确保信息系统的安全和可靠。本文重点阐述金
亿林等保·2025-07-09 20:47

前端安全 常见的攻击类型及防御措施

1.跨站脚本攻击(XSS)描述:跨站脚本(XSS:Cross-SiteScripting)是一种安全漏洞,允许攻击者向网站注入恶意客户端代码。该代码由受害者执行从而让攻击者绕过访问控制并冒充用户。
·2025-07-09 18:08

基于Web门户架构的监狱内网改版实践:值班排班系统设计与信创适配探讨

:监狱内网改版、监狱内部网站改版、值班排班系统、信创适配、智能门户架构一、场景背景与问题分析在信创国产化、等级保护合规、政务集约化趋势持续推进的背景下,传统监狱内部网站普遍面临如下问题:架构陈旧,安全漏洞频出
bbsh2099·2025-07-09 17:29

FISCO BCOS区块链智能合约测试利器:Foundry框架从入门到实战

想象一下,你花费数周时间开发的智能合约终于部署上线,却因为一个未发现的边界条件漏洞导致合约资金被锁死或被盗——这种噩梦般的场景在区块链世界并不罕见。
·2025-07-09 08:28
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他