7-zip漏洞

CNVD-2025-04094:Ollama未授权访问漏洞复现

文章目录CNVD-2025-04094:Ollama未授权访问漏洞复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.复现0x06修复建议CNVD-2025
gaynell·2025-05-23 10:28

新的Novidade漏洞利用工具包目标瞄准家用和SOHO路由器

趋势科技的研究人员于本周二(12月11日)发布消息称,他们已经发现了一种新的漏洞利用工具包(ExploitKit,EK),并将其命名为“Novidade”。
乖巧小墨宝·2025-05-23 06:00

路由器DNS 劫持攻击情况

攻击者进行DNS劫持的流程为:首先对暴露在互联网上的存在未授权DNS修改漏洞的路由器进行攻击,将其DNS服务器地址改为攻击者的恶意
m0_73803866·2025-05-23 06:29

XSS (Cross-Site Scripting;跨站脚本)

1.介绍XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,允许恶意用户将代码注入网页,其他用户在观看网页时会受到影响。这类攻击通常包含HTML和用户端脚本语言。
noisy_wind·2025-05-23 02:03

跨网站脚本(Cross-site scripting)介绍

跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
Goith·2025-05-23 02:33

跨站脚本攻击与防御

还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入
abc123098098·2025-05-23 02:32

FOXCMS黔狐内容管理系统_远程代码执行(CVE-2025-29306)

漏洞存在于FoxCMS的index.html接口中,允许攻击者通
Sword-heart·2025-05-23 00:51

如何测试JWT的安全性:全面防御JSON Web Token的安全漏洞

本文将系统性地介绍JWT安全测试的方法论,通过真实案例剖析典型漏洞,帮助我们构建全面的JWT安全防御体系。
测试工程喵·2025-05-22 20:28

#渗透测试#红蓝攻防#HW#SRC漏洞挖掘04#经验分享#业务逻辑漏洞

免责声明本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅目录常见的逻辑漏洞经验总结
独行soc·2025-05-22 13:43

华为openEuler22.03系统离线升级到openssh9.8版本(CentOS 7适用)

修复openssh低版本漏洞,将其升级到9.8版本0.系统对应关系openEuler22.03系统内核为Linux,大部分情况可以视为其对应的CentOS版本是CentOS7.9,因此CentOS7.9
sudu5230·2025-05-22 11:34

vulfocus漏洞学习——redis 未授权访问 (CNVD-2015-07557)

目录一、漏洞介绍二、影响版本三、漏洞复现1.使用脚本四、漏洞原理一、漏洞介绍Redis是一个免费开源的键值存储数据库,数据默认存到内存中,用简单的C语言编写,能通过网络访问。
c30%00·2025-05-22 11:28

新兴技术与安全挑战

Serverless函数注入:漏洞代码(AWSLambda):deflambda_handler(event,context):cmd=event.get('c
Alfadi联盟 萧瑶·2025-05-22 03:37

信创安全 | 网络安全“两高一弱”是什么

“两高一弱”问题是网络安全领域的重要关注点,即高危漏洞、高危端口和弱口令。高危漏洞高危漏洞是指网络系统中存在的、可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。
极创信息·2025-05-22 02:32

渗透测试与漏洞扫描的区别

在这一背景下,渗透测试和漏洞扫描作为两种主要的网络安全评估手段,被广泛应用于各种安全测试和风险评估中。然而,尽管它们的目标都是为了发现和修复系统中的安全漏洞,但它们在多个方面存在着显著的差异。
极创信息·2025-05-22 02:02

ASP代码安全检测与防御指南

万能密码漏洞检查登录逻辑,避免使用SELE
JKIT沐枫·2025-05-22 00:45

漏洞类型与攻击技术

1.1SQL注入1.1.1SQL注入简介与原理SQL注入是通过用户输入的数据中插入恶意SQL代码,绕过应用程序对数据库的合法操作,进而窃取、篡改或删除数据的攻击方式。核心原理是应用程序未对用户输入进行严格过滤,导致攻击者可以操控SQL语句逻辑。1.1.2联合查询注入与报错注入-联合查询注入:利用UNION操作符拼接恶意查询,通过页面回显获取数据库信息(如表名、字段值)。示例代码:'UNIONSEL
Alfadi联盟 萧瑶·2025-05-21 15:47

Apache Apisix 安全漏洞(CVE-2020-13945)

文章目录0x01漏洞介绍0x02影响版本0x03漏洞编号0x04漏洞查询0x05漏洞环境0x06漏洞复现0x07修复建议免责声明摘抄0x01漏洞介绍ApacheApisix是Apache基金会的一个云原生的微服务
星球守护者·2025-05-21 11:47

045-SSH版本升级-openssh-9.8p1

下载新版本SSH4、备份原有的SSH配置5、上传文件并解压6、安装依赖7、编译安装openssh7.1、在解压后的目录,初始化openssh7.2、替换密钥文件7.3、修改配置文件7.4、重启SSH服务漏洞描述
深度学习0407·2025-05-21 05:39

关于 Web 漏洞原理与利用:2. XSS(跨站脚本攻击)

一、原理:用户输入未过滤被执行攻击者输入的内容,如果没有被正确处理(过滤/转义),被网页原样输出到浏览器中,那么这些内容就可能会被浏览器当成代码执行,这就是XSS(跨站脚本攻击)。三个关键部分1)用户输入用户可以控制的数据(攻击者当然也就可以),比如:URL参数:?name=张三表单内容:用户名、评论内容Cookie值、Referer上传的HTML内容(富文本)2)未过滤服务器或者前端在把这些用户
shenyan~·2025-05-20 20:45

关于 Web 漏洞原理与利用:1. SQL 注入(SQLi)

一、原理:拼接SQL语句导致注入SQL注入的根本原因是:开发者将用户的输入和SQL语句直接拼接在一起,没有任何过滤或校验,最终被数据库“当作语句”执行了。这就像是我们给数据库写了一封信,结果攻击者在我们的信里偷偷夹带了一份自己的“指令”,数据库不加分辨就执行了两份内容。1.举例说明假设有一个登录功能,代码如下:$username=$_POST['username'];$password=$_POS
shenyan~·2025-05-20 20:44

揭秘安全性测试:守护数字世界的隐形卫士

二、一探安全性测试的究竟三、安全性测试的“十八般武艺”(一)漏洞扫描:揪出隐藏的安全隐患(二)渗透测试:模拟黑客的实战演练(三)安全配置检查:筑牢安全防线的基础(四)密码破解测试:捍卫账号安全的关键四、
大雨淅淅·2025-05-20 15:13

Linux 网络安全守护:构建安全防线的最佳实践

1.定期更新系统和软件保持系统和软件的最新状态是防止安全漏洞的重要措施。Linux发行版通常提供定期的安全更新,用户应定期检查并安装这些更新。使用包管理工具(如`apt
伟祺top·2025-05-20 15:13

终端安全新范式:银行业如何抵御勒索软件与内部威胁?(二)

银行业因其业务特性面临极高的安全风险与合规要求:终端设备承载客户隐私、交易数据等核心资产,需通过加密、访问控制等技术防止泄露;多平台异构环境(Windows/Linux/ATM终端)需统一管理以消除漏洞盲区
卓豪终端管理·2025-05-20 14:11

CentOS7/8 升级openssl版本至3.0.8 修补漏洞SWEET32

升级步骤1.安装perl-CPAN模块yuminstallperl-IPC-Cmd2.下载openssl源代码wget--no-check-certificate https://www.openssl.org/source/openssl-3.0.8.tar.gztar-zxvfopenssl-3.0.8.tar.gz3.编译openssl./config--prefix=/usr/local/
QuickNetty·2025-05-20 13:29

glibc漏洞威胁数百万Linux系统安全 可导致任意代码执行

GNUC库(glibc)作为绝大多数Linux应用程序的基础组件,其共享库加载机制中新发现的漏洞可能影响静态setuid二进制文件的安全性。
FreeBuf-·2025-05-20 13:58

Windows远程桌面网关漏洞可被攻击者利用触发拒绝服务条件

微软安全响应中心(MSRC)已发布重要安全更新,修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。
FreeBuf-·2025-05-20 13:28

对抗性机器学习:AI模型安全防护新挑战

随着采用对抗性机器学习(AdversarialMachineLearning,AML)的AI系统融入关键基础设施、医疗健康和自动驾驶技术领域,一场无声的攻防战正在上演——防御方不断强化模型,而攻击者则持续挖掘漏洞
FreeBuf-·2025-05-20 12:27

防御策略与安全加固

第四部分:防御策略与安全加固4.1漏洞防御4.1.1SQL注入防御(Impossible级别)核心策略:参数化查询:使用预处理语句(如PreparedStatement)分离SQL逻辑与数据输入。
Alfadi联盟 萧瑶·2025-05-20 12:22

渗透测试行业术语2

2.渗透测试:为了证明网络防御按照预期计划正常运行而提供的一种机制,通常会邀请专业公司的攻击团队,按照一定的规则攻击既定目标,从而找出其中存在的漏洞或者其他安全隐患,并出具测试报告和整改建议。
网络空间小黑·2025-05-19 22:54

华为鸿蒙安全引擎升级:企业物联网数据防护的「攻防实战进阶」

一、新型安全威胁与应对策略(一)零日漏洞攻击防护想象一下,黑客手里握着一把“隐形钥匙”(零日漏洞),趁你不备就想溜进系统搞破坏
·2025-05-19 19:14

iOS 17.0如何无需签名一键安装巨魔的教程

2教程支持的iOS版本iOS15.0~16.7RC(20H18)iOS17.0(内部版本号:21A326、21A327、21A329、21A331)iOS17.0.1以上~17.6.1(苹果已经修复了漏洞
代码简单说·2025-05-19 06:02

谈谈未来iOS越狱或巨魔是否会消失

因为巨魔强依赖的漏洞就是一个签名漏洞,攻击面有限又经过2轮修复,第3次出现漏洞的概率极低。而越狱的话由于系统组件和服务较多,所以出现漏洞概率高攻击面多,未来越狱仍存在概率比巨魔高得多。
Chargelimiter·2025-05-19 06:30

深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复

本文将深入探讨Kubescape,特别关注其在容器镜像漏洞修复方面的能力,帮助读者全面了解这一工具如何增强Kubernetes环境的安全性。2.Kubescape概述Ku
ivwdcwso·2025-05-19 05:58

安全测试:从基础到进阶

安全测试,作为软件开发过程中的关键环节,对于发现并修复系统中的潜在漏洞、防止恶意攻击和数据泄露具有重要意义。
有点菜的小刘·2025-05-19 05:55

WordPress_Relevanssi Sql注入漏洞复现(CVE-2025-4396)

免责申明:本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。
iSee857·2025-05-19 04:20

内存安全暗战:从 CVE-2025-21298 看 C 语言防御体系的范式革命

引言2025年3月,当某工业控制软件因CVE-2025-21298漏洞遭攻击,导致欧洲某能源枢纽的电力调度系统瘫痪37分钟时,全球网络安全社区再次被拉回C语言内存安全的核心战场。
南玖yy·2025-05-19 03:10

14【高级指南】Django部署最佳实践:从开发到生产的全流程解析

即使设计精良的应用程序,如果部署不当,也会面临性能瓶颈、安全漏洞和可靠性问题。根据最近的研究,超过60%的Web应用故障与部署配置不当有关,而非代码本身的缺陷。
Is code·2025-05-18 14:17

安全版4.5.8开启审计后,hac+读写分离主备切换异常

文章目录环境BUG/漏洞编码症状触发条件解决方案环境系统平台:UOS(飞腾)版本:4.5.8BUG/漏洞编码3043症状BUG安装包:hgdb-see-4.5.8-db43858.aarch64.rpm
瀚高PG实验室·2025-05-18 11:26

C#合规跟踪卡在第4步?95%开发者忽略的‘审计黑箱’!5步解锁合规全视界!

→你一脸懵;权限控制漏洞,实习生不小心删除了核心配置;合规报告
墨瑾轩·2025-05-18 10:47

Cursor安全漏洞事件深度解析:当AI编程工具成为供应链攻击的新战场

「炎码工坊」技术弹药已装填!点击关注→解锁工业级干货【工具实测|项目避坑|源码燃烧指南】引言:AI编程工具的普及与安全隐患的暗涌在AI编程工具(如Cursor、GitHubCopilot)彻底改变开发效率的今天,开发者对自动化工具的依赖已深入骨髓。然而,技术红利的背后,安全风险正呈指数级增长。2025年5月,网络安全公司PillarSecurity披露了一起针对CursormacOS用户的供应链攻
炎码工坊·2025-05-18 07:54

Shiro721 反序列化漏洞(CVE-2019-12422)

目录Shiro550和Shiro721的区别判断是否存在漏洞漏洞环境搭建漏洞利用利用Shiro检测工具利用Shiro综综合利用工具这一篇还是参考别的师傅的好文章学习Shiro的反序列化漏洞上一篇也是Shiro
未知百分百·2025-05-18 03:56

如何用PDO实现安全的数据库操作:避免SQL注入

然而,SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入来操控数据库,从而获取敏感信息或破坏数据。使用PHP的PDO(PHPDataObjects)扩展可以有效地防止SQL注入。
奥利奥669·2025-05-18 03:54

告别复杂混乱的“祖传“配置:Spring Security 安全架构重构与优化实战

这些配置代码通常有这些特点:没人敢动、充满神秘注释、层层嵌套的条件判断、各种看似随意的安全规则拼接,甚至可能包含潜在的安全漏洞。更糟糕的是,原始编写者可能早已离职,留下的只有一
码上Java.·2025-05-18 03:53

中exec()函数因$imagePath参数导致的命令注入漏洞

$imagePath,$barcodeList,$returnVar);针对PHP中exec()函数因$imagePath参数导致的命令注入漏洞,以下是安全解决方案和最佳实践:一、漏洞原理分析直接拼接用户输入
事业运财运爆棚·2025-05-17 21:14

Weblogic 反序列化远程命令执行漏洞 CVE-2019-2725 详解

Weblogic反序列化远程命令执行漏洞CVE-2019-2725详解一、漏洞背景2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的OracleWebLogicwls9
Waitccy·2025-05-17 19:03

中间件安全基础:架构中的隐形防线

其安全漏洞可能导致全链数据泄露或服务瘫痪。
2501_91895405·2025-05-17 17:21

MCP协议“工具投毒攻击”:AI代理的无声危机与防御指南

然而,安全机构Invariant的最新报告[1]揭露了一个致命漏洞:工具投毒攻击(To
炎码工坊·2025-05-17 17:16

韩媒聚焦Lazarus攻击手段升级,CertiK联创顾荣辉详解应对之道

顾荣辉指出,Lazarus组织的攻击手法已突破传统技术漏洞利用的范畴,上升至对社会信任机制的渗透与操控,其威胁程度前所未有。作为Web3.0安全行
CertiK·2025-05-17 08:38

想当网络安全卫士?Kali Linux的下载、配置与“黑科技”全揭秘

其核心特点包括:预装600+安全工具:涵盖网络扫描(如Nmap)、漏洞利用(如Metasploit)、密码破解(如JohntheRipp
WuYiCheng666·2025-05-17 06:23

浅谈软件成分分析(SCA)在企业开发安全建设中的落地思路

开源代码的使用大幅度提高软件研发效率、缩短上市时间、降低开发成本,但是开源软件中存在的大量缺陷、甚至安全漏洞
安全乐观主义·2025-05-17 00:52
上一页 7 8 9 10 11 12 13 14 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他