E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
CVE漏洞
Log4J2
漏洞
(
CVE
-2021-44228)原理
目录Apachelog4j2-RCE
漏洞
一、
漏洞
简介二、
漏洞
原理三、靶场
漏洞
复现四、总结Apachelog4j2-RCE
漏洞
一、
漏洞
简介ApacheLog4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发
疯癫兄
·
2024-02-07 01:55
log4j
apache
java
安全
一文读懂面试官都在问的Log4J2
漏洞
CVE
-2021-44228
漏洞
简介ApacheLog4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。
YikJiang_
·
2024-02-07 01:54
log4j
Log4j2
漏洞
(一)原理和dnslog验证
1、
漏洞
介绍1.1、背景2021年11月24日,阿里云安全团队向Apache官方报告了ApacheLog4j2远程代码执行
漏洞
。
大象只为你
·
2024-02-07 01:23
跟我学网安知识
命令执行
漏洞复现
网络安全
小迪笔记基础入门1-3
baidu.com二级域名:news.baidu.com三/多级域名:shehui.news.baidu.com4域名与安全测试:如果一级域名不能突破,可以从其他域名下手(多级域名的收集意义就是一个网站找不到
漏洞
是
来者是我
·
2024-02-07 00:37
服务器
网络
运维
[VulnHub靶机渗透] MHZ_CXF: C1F
目录前言一、信息收集1、主机探测2、端口扫描3、
漏洞
扫描二、渗透测试1、web渗透2、ssh远程登录
hacker-routing
·
2024-02-06 22:30
web
【精选】VulnHub
渗透测试靶场练习平台
网络
windows
安全
测试工具
vulnhub
ssh
反弹shell原理和实现
当一些框架和代码,不小心让可执行shell命令的函数存在注入
漏洞
时,会被利用注入
漏洞
执行一些shell命令。入侵者为了防止
漏洞
被修复,无法通过正向链接侵入服务器时,会被利用shell反弹原理种马。
whynogome
·
2024-02-06 22:20
后端
服务器
安全
php
【
漏洞
复现】EPON上行A8-C政企网关信息泄露
漏洞
Nx02
漏洞
描述EPON上行A8-C政企网关敏感信息泄露
漏洞
,攻击者通过敏感信息泄露获取管理员密码。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
web安全
网络
【
漏洞
复现】飞鱼星路由器COOKIE.CGI权限绕过
漏洞
Nx02
漏洞
描述飞鱼星家用智能路由存在逻辑缺陷
漏洞
。攻击者利用该
漏洞
可直接登录系统后台,操作访问后台任意页面。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
网络
web安全
【
漏洞
复现】电信网关配置管理系统SQL注入
漏洞
Nx02
漏洞
描述电信网关配置管理系统存在SQL注入
漏洞
,攻击者可利用该
漏洞
获取数据库敏感信息。
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
网络
安全
服务器
web安全
【
漏洞
复现】EPON上行A8-C政企网关未授权下载
漏洞
Nx02
漏洞
描述EPON上行A8-C政企网关配置文件未授权下载
漏洞
,攻击者在未授权状态下下载配置文件,获取配置文件内敏感信息。
晚风不及你ღ
·
2024-02-06 21:50
【漏洞复现】
网络
web安全
安全
关闭Ubuntu 默认开启的自动安全更新
如果软件包有安全
漏洞
,Ubuntu发布更新包后会自动安装更新并重启。这种重启是不可预知的。(尤其是服务器使用上)例如:Mysql会被自动重启,如果是集群可能会导致无法启动。
Songxwn
·
2024-02-06 21:31
ubuntu
linux
运维
ESXi 勒索病毒ESXiArgs 其
CVE
-2021-21974
漏洞
分析
个人博客https://songxwn.com介绍该
漏洞
编号为
CVE
-2021-21974,由OpenSLP服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。
Songxwn
·
2024-02-06 21:30
VMware
网络
安全
服务器
GDB交叉编译
使用的交叉编译工具链:arm-poky-linux-gnueabi-gcc,gc
cve
rsion6.2.0GDB依赖的库:1.ncurses(不确定是否用到这个库,不过编译GDB的时候提示缺这个的头文件
adgentleman
·
2024-02-06 21:22
gdb
交叉编译
gdb移植
孩子之间的“欺负”与“被欺”,往往隐藏着父母养育上的大
漏洞
!
本文导读:孩子打人或被打,背后的成因是什么?父母又该如何防止孩子打人,或被打?图片发自App生活中,有些孩子总是很暴躁、粗野,具有攻击性,一言不合,就要打人。与此相对的,有些孩子从小到大,似乎总是被欺负的命,即使换了环境,过不了多久,又被人欺负了。那么,这样经常打人,或者被打的孩子,他们的背后,往往是怎样的养育体系呢?~打人的孩子,背后的养育方式很可能是被溺爱、放纵,或者暴力对待。~被打的孩子,父
处处有心
·
2024-02-06 21:16
漏洞
-跨站脚本攻击
漏洞
-跨站脚本攻击1.1简介XSS:CrossSiteScripting,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
吴少侠
·
2024-02-06 20:06
java项目请求url存在特殊字符 400错误
java项目请求url特殊字符400错误1现象请求路径带特殊字符,就会400错误,这就泄露了服务器版本和报错信息,无疑是敏感信息泄露,实属安全
漏洞
。
背儿头
·
2024-02-06 20:59
经验分享
问题大杂烩
tomcat
服务器
spring
java
mvc
42、WEB攻防——通用
漏洞
&文件包含&LFI&RFI&伪协议编码算法&代码审计
文件包含
漏洞
常出现于php脚本中,当include($file)中的$file变量用户可控,就造成了文件包含
漏洞
。
PT_silver
·
2024-02-06 19:33
小迪安全
前端
算法
1月威胁态势 | 0day占比83%!两大勒索家族“均分天下”
近日,亚信安全正式发布《亚信安全2024年1月威胁态势报告》(以下简称“报告”)报告显示,1月份新增安全
漏洞
1511个,涉及0day
漏洞
占83%;监测发现当前较活跃的勒索病毒家族是Wacatac和Nemucod
亚信安全官方账号
·
2024-02-06 18:01
每月更新:亚信安全威胁态势报告
网络
安全
大数据
web安全
网络安全
利用VPN设备
漏洞
入侵!新型勒索软件CACTUS攻击手法分析
近期,亚信安全应急响应中心截获了利用VPN设备已知
漏洞
传播的新型勒索软件CACTUS,该勒索于2023年3月首次被发现,一直保持着活跃状态。
亚信安全官方账号
·
2024-02-06 18:01
大数据
安全
web安全
apache
开发语言
SSRF-服务端请求伪造
由攻击者构造的攻击链接传给服务端执行造成的
漏洞
,一般用来在外网探测或攻击内网服务。2.SSRF可以做什么?扫内网。向内部任意主机的任意端口发送精心构造的Payload。
weixin_50339082
·
2024-02-06 17:48
漏洞基础小知识
安全
后端
网络安全
linux
系统安全
SSRF(服务端请求伪造)原理/防御
原理攻击者伪造服务器获取资源的请求,通过服务器来攻击内部系统比如端口扫描,读取默认文件判断服务架构,或者配合SQL注入等其他
漏洞
攻击内网的主机触发点/检测SSRF常出现在URL中,比如分享,翻译,图片加载
小蚁网络安全(胡歌)
·
2024-02-06 17:48
安全
网络
服务器
ddos
web安全
服务端请求伪造 (SSRF):利用
漏洞
实现攻击的风险和防范方法
1、SSRF
漏洞
简介01什么是SSRF02SSRF形成的原因03与CSRF的区别04SSRF攻击的危害2、
漏洞
场景01从WEB功能点寻找02从URL关键字寻找03总结2、SSRF
漏洞
利用01dict:/
狗蛋的博客之旅
·
2024-02-06 17:17
网络安全
安全
SSRF(服务端请求伪造)
漏洞
SSRF定义:SSRF(Server-SideRequestForgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全
漏洞
,本质是信息泄露
漏洞
。
carefree798
·
2024-02-06 17:17
Web漏洞
安全
服务器
安全漏洞
浅谈“服务端请求伪造攻击SSRF”
一:
漏洞
名称:服务端请求伪造攻击(SSRF)描述:(部分参考:https://www.cnblogs.com/csnd/p/11807726.html)SSRF(Server-SideRequestForgery
红烧兔纸
·
2024-02-06 17:46
Web安全之信息泄露类
CSRF:跨站请求伪造攻击
CSRF全称为跨站请求伪造(Cross-siterequestforgery),它是一种常见的Web攻击,下面我就来给大家通过学习+复习的方式介绍一下CSRF
漏洞
,并且会演示一下攻
未知百分百
·
2024-02-06 17:45
安全
csrf
前端
网络安全
web安全
dvwa
安全
php
6.SSRF(服务端请求伪造)
6.1什么是ssrfSSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全
漏洞
6.2原理SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能
qq_45926195
·
2024-02-06 17:44
十大漏洞
安全
隧道穿透:常规反弹、加密反弹
Windows正向连接shell(2)Windows反向连接shell(3)Linux正向连接shell(2)利用Linux自带bash反弹Shell2、加密反弹1、常规反弹假设在内网环境中发现主机,通过
漏洞
获取到该主机控制权限
未知百分百
·
2024-02-06 17:44
安全
ATT&CK
网络
安全
网络安全
web安全
windows
linux
shell
SSRF服务器端请求伪造
一、SSRF服务器端请求伪造SSRF(Server-SideRequestForgery)服务器端请求伪造,一种由攻击者构造请求,由服务器端发起请求的安全
漏洞
,本质上是属于信息泄露
漏洞
。
偷偷学习被我发现
·
2024-02-06 17:43
web安全
服务器
网络
安全
浅谈 SSRF 服务器端请求伪造攻击与防御
服务器端请求伪造攻击与防御文章目录浅谈SSRF服务器端请求伪造攻击与防御0x01SSRF服务器端请求伪造简介1.SSRF常见用途2.SSRF常见位置3.常见的URL关键字0x02pikachu环境搭建0x03SSRF
漏洞
实践
丰梓林
·
2024-02-06 17:42
漏洞原理
csrf
Web安全基础:第4节:服务端请求伪造:SSRF
漏洞
-基础篇
1.SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的
漏洞
。
花纵酒
·
2024-02-06 17:12
网络对抗技术
网络安全
SSRF:服务端请求伪造攻击
服务端请求伪造(ServerSideRequestForgery):是最近几年出现的一种web
漏洞
,2021年,SSRF被OWASP列为Top10web安全风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
未知百分百
·
2024-02-06 17:10
安全
网络安全
web安全
安全
ssrf
php
前端
Canary机制 -格式化字符串
漏洞
一.canary相当于一个标志当修改程序时,会发现程序是否被修改。注:找到canary偏移地址,填充打印出canary的值1.程序源码:图片.png2.编译:gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCannary.c生成pwnme程序3.查看偏移地址是否一直在变动:lddpwnme注:关闭地址随机化echo0>/proc/sys/
Zero_0_0
·
2024-02-06 17:07
文件包含
漏洞
总结及工具分享
PHP文件包含
漏洞
检测利用总结及神器字典工具分享
漏洞
原理像PHP、JSP、ASP、.NET等脚本语言,都提供了一种包含文件的功能,通过这种方式可以达到复用代码的目的。
black guest丶
·
2024-02-06 17:22
php
安全漏洞
渗透测试练习题解析 2(CTF web)
题目均来自BUUCTF1、[极客大挑战2019]Upload1考点:文件上传
漏洞
进入靶场一看就知道是考察文件上传
漏洞
,看源码有没有敏感信息没有什么敏感信息,那我们试着按要求传一张图片看看结果,但是传了png
安全不再安全
·
2024-02-06 17:49
CTF
web
安全
前端
网络安全
web安全
安全架构
网络攻击模型
最新的 Ivanti SSRF 零日
漏洞
正在被大规模利用
BleepingComputer网站消息,安全研究员发现IvantiConnectSecure和IvantiPolicySecure服务器端请求伪造(SSRF)
漏洞
(
CVE
-2024-21893)正在被多个威胁攻击者大规模利用
FreeBuf_
·
2024-02-06 17:13
安全
网络
web安全
XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化
漏洞
绕过__wakeup()函数)
打开题目地址:发现是一段残缺的php代码题目名称unserialize3就是反序列化,要求我们通过反序列化
漏洞
绕过__wakeup()函数。
大灬白
·
2024-02-06 17:13
#
Bugku
XCTF-WEB类写题过程
前端
php
web
web安全
安全
Java代码审计之RCE(远程命令执行)
Java代码审计系列课程(点我哦)
漏洞
原理:RCE
漏洞
,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。
mingzhi61
·
2024-02-06 17:13
java代码审计
开发语言
java代码审计
安全开发
中间解析
漏洞
小知识科普
前言当一个web应用对上传文件的后缀名等限制严格,难以上传类似于PHP这类可动态执行脚本的时候,可以考虑考虑比对一下中间件的版本号和尝试一下是否存在解析
漏洞
这个问题。
zhhhy
·
2024-02-06 17:23
改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD
主要发现通过动态修改系统配置、软件堆栈或网络特征,自动移动目标防御(AMTD)使攻击者更难识别和利用
漏洞
。
lurenjia404
·
2024-02-06 15:02
信安前沿资讯
安全
网络
web安全
态度的重要性
刚刚陪直属领导完成一场接待,喜忧参半的结果,喜的是我安排行程及讲解过程没有问题,忧的是各部门所配合环节不认真造成的
漏洞
。不是重要的接待,便有许多部门懈怠的情况,我归于态度问题。
混沌的出口
·
2024-02-06 15:28
【
漏洞
复现】大华智慧园区综合管理平台bitmap接口存在任意文件上传
漏洞
漏洞
描述大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
丢了少年失了心1
·
2024-02-06 14:06
网络安全
web安全
渗透测试
漏洞复现
漏洞复现
渗透测试
网络安全
文件上传
【
漏洞
复现】likeshop开源免费商用电商系统存在任意文件上传
漏洞
CVE
-2024-0352
漏洞
描述Likeshop是Likeshop开源的一个社交商务策略的完整解决方案。
丢了少年失了心1
·
2024-02-06 14:36
网络安全
web安全
渗透测试
漏洞复现
网络协议
渗透测试
网络安全
漏洞复现
【
漏洞
复现】SpringBlade export-user接口存在SQL注入
漏洞
漏洞
描述SpringBlade是一个由商业级项目升级优化而来的微服务架构采用SpringBoot2.7、SpringCloud2021等核心技术构建,完全遵循阿里巴巴编码规范。
丢了少年失了心1
·
2024-02-06 14:35
网络安全
web安全
渗透测试
漏洞复现
sql
数据库
渗透测试
网络安全
漏洞复现
attack demo - USMA
USMA(User-Space-Mapping-Attack)允许普通用户进程可以映射内核态内存并且修改内核代码段,通过这个方法,我们可以绕过Linux内核中的CFI缓解措施,在内核态中执行任意代码360
漏洞
研究院
goodcat666
·
2024-02-06 14:36
pwn_cve_kernel
linux
pwn
n
cve
rilog仿真的基础脚本
NCSimNC-SIM为Cadence公司之VHDL与Verilog混合模拟的模拟器(simulator),可以帮助IC设计者验证及模拟其所用VHDL与Verilog混合计设的IC功能.NC-Verilog为Cadence公司之Verilog硬体描述语言模拟器(simulator),可以帮助IC设计者验证及模拟所设计IC的功能.使用NC-Verilog软体,使用者必须使用Verilog硬体描述语言
罐头说
·
2024-02-06 14:07
tee
漏洞
学习-翻译-2:探索 Qualcomm TrustZone的实现
原文:http://bits-please.blogspot.com/2015/08/exploring-qualcomms-trustzone.html获取TrustZoneimage从两个不同的位置提取image从手机设备本身从googlefactoryimage已经root的Nexus5设备,image存储在eMMC芯片上,并且eMMC芯片的分区在/dev/block/platform/ms
goodcat666
·
2024-02-06 14:35
tee安全
tee
pwn
我用 CF 打穿了他的云上内网
火线Zone社区:https://zone.huoxian.cn/d/1341-cf作者:TeamsSix0x00前言最近在做项目的时候,测到了一个部署在云上的存在LaravelUEditorSSRF
漏洞
的站点
火线安全
·
2024-02-06 13:21
云安全
SSRF
漏洞
给云服务元数据带来的安全威胁
文章目录前言元数据服务威胁1.1Metadata元数据1.2RAM资源管理角色1.3STS临时凭据利用1.4CF云环境利用框架1.5元数据安全性增强TerraformGoat2.1永久性AccessKey2.2SSRF靶场环境搭建2.3腾讯云CVM配角色2.4接管腾讯云控制台SSRF组合拳案例3.1上传图片功能SSRF3.2文件导出功能SSRF总结前言云服务器的实例元数据是指在实例内部通过访问元数
Tr0e
·
2024-02-06 13:21
渗透测试
元数据
云安全
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统
某开源逻辑审计配合引擎实现通用某闭源审计或黑盒配合引擎实现通用某售卖审计或黑盒配合引擎实现通用涉及资源:要挖cnvd是有一个条件的,那就是通用性要100+,就可以达到证书的级别,不然的话,没有什么作用1.开源系统、闭源系统、售卖系统通用性100+:表示挖到的
漏洞
影响影响范围
山兔1
·
2024-02-06 12:53
小迪安全
web安全
信息安全风险评估
本文已收录至《全国计算机等级考试——信息安全技术》专栏简介信息安全风险评估从早期简单的
漏洞
扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、
星环之光
·
2024-02-06 12:03
网络
网络安全
上一页
13
14
15
16
17
18
19
20
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他