MS17-010漏洞

WEB攻防-通用漏洞&XSS跨站-表单劫持&钓鱼捆绑

XSS-后台植入Cookie&表单劫持思路:因为cookie有可能会有过滤情况导致获取不全,那么就可以使用获取表单密码的方法,同时解决劫持密码但检测或解密不出来的一种思路同时保证权限维持表单密码(白盒):查看登录界面,在登陆页面处填写代码获取账户密码并通过js代码发送到指定位置,在目的服务器处编写接受文件即可这是一个本地登录页面的CMS,当登录成功后会跳转到index页面直接利用xss平台获取代码
@墨竹·2024-01-12 07:52

Tomcat PUT 方法任意写文件漏洞(CVE-2017-12615)复现

前言TomcatPUT方法任意写文件漏洞(CVE-2017-12615)只要用到了该中间件&框架,且其版本处于漏洞版本之中,就会存在该漏洞
Spring� 胡·2024-01-12 07:15

EOS的Voice很棒,但可能也会遇到这些问题(4)

##Voice通证经济存在一个漏洞虽然从技术上讲,写帖子、评论或类似帖子不需要花费任何Voice,因为使用Voice代币是无风险的,但基本上没有理由不在每次发布帖子时,花掉所有的Voice代币来增加帖子可见性
天天_49e3·2024-01-12 06:49

智邦国际ERP系统GetPersonalSealData接口sql注入漏洞复现 [附POC]

文章目录智邦国际ERP系统GetPersonalSealData接口sql注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3
gaynell·2024-01-12 06:14

用友NC Cloud soapFormat.ajax接口XXE漏洞复现 [附POC]

文章目录用友NCCloudsoapFormat.ajax接口XXE漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06
gaynell·2024-01-12 06:14

web安全测试|csrf攻击

一些漏洞扫描检测机构经常会提出跨站攻击的问题要求整改。
宝贝窝3·2024-01-12 06:45

宋宝华: ARM64 Linux meltdown修复补丁KPTI的最重要3个patch

看完这篇文章,可以知道AARCH64平台修复meltdown漏洞的KPTI补丁的基本原理。此文很难很分裂,需要具备大量背景知识,慎重阅读。看不懂也没有关系,记住最后三张页表的结论即可。
一只晨兴夜不得寐的运维人·2024-01-12 06:44

任我行CRM系统SmsDataList接口SQL注入漏洞复现 [附POC]

文章目录任我行CRM系统SmsDataList接口SQL注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06
gaynell·2024-01-12 06:44

Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)

0x02漏洞概述漏洞成因2020年,为修复CVE-2020-9496增加权限校验,存在绕过。2021年,增加Filter用于拦截XML-RPC中的恶意请求,存在绕过。
OidBoy_G·2024-01-12 06:13

漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070)

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。
芝士土包鼠·2024-01-12 06:13

APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析

1.1状态完成漏洞挖掘条件分析、漏洞复现。
奇安信代码卫士·2024-01-12 06:13

CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现

CVE-2020-9496ApacheOFBizXML-RPC反序列化漏洞文章目录CVE-2020-9496ApacheOFBizXML-RPC反序列化漏洞1.概述1.1OFBiz1.2漏洞简述1.3风险等级
ImShadowven·2024-01-12 06:11

CVE-2023-49070:Apache Ofbiz XML-RPC远程命令执行漏洞复现[附POC]

文章目录ApacheOfbizXML-RPC远程命令执行漏洞复现(CVE-2023-49070)[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2
gaynell·2024-01-12 06:09

任务161:Msf-弱点扫描

(vnc和远程连接相关)VNC无密码访问模块,可以发现默认开启VNC服务的机器若目标开了3389端口,则可以用那个模块检测目标是否存在漏洞,和那个模块类似的,还有一个dos攻击模块,一旦攻击,目标就蓝屏了
FKTX·2024-01-12 06:37

网站被入侵了?试试用这几个工具扫描出黑客留下的后门!四款webshell扫描工具的对比评测

任何程序都有可能出现漏洞,任何网站都有被入侵的可能。近一段时间以来,各大漏洞一如既往地层出不穷。
野外的小弟·2024-01-12 05:18

74应急响应-win&linux分析后门&勒索病毒&攻击

#操作系统(windows,linux)应急响应:1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
上线之叁·2024-01-12 05:45

75应急响应-数据库&漏洞口令检索&应急取证箱

必要知识点第三方应用是选择性的安装的,比如mysql,如何做好信息收集,有没有爆过它的漏洞,和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
上线之叁·2024-01-12 05:45

73应急响应-Web分析php&javaWeb&自动化工具

我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章应急响应笔记就开始比较潦草应急响应基础知识应急响应流程保护阶段(断网,避免继续渗透;备份),分析阶段(分析攻击行为,找对应漏洞),复现阶段,修复阶段
san3144393495·2024-01-12 05:15

「 典型安全漏洞系列 」02.SQL注入详解

引言:SQL注入是一个老生常谈且又非常重要的漏洞,导致许多热点的数据泄露事件。尽管学习起来相对简单,但它可能用于某些高危漏洞的利用。
筑梦之月·2024-01-12 05:10

网页篡改怎么提防

网页篡改是一种通过网页应用中的漏洞获取未经授权的恶意行为,攻击者通过修改网页的内容或外观来欺骗用户、传播虚假信息或实施其他恶意活动,非法篡改Web应用中的内容、植入暗链等,传播恶意信息,危害社会安全并牟取暴利的网络攻击行为
德迅云安全-小娜·2024-01-12 04:32

如何防止DNS缓存中毒攻击

近来,网络上出现互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。
QQ2852813031·2024-01-12 04:00

如何防止 DNS 攻击造成的损失

DNS攻击是指攻击者利用DNS服务器漏洞或缺陷,对企业的DNS服务器进行攻击,从而导致用户无法正常访问互联网或者被重定向到恶意网站。
德迅云安全-小娜·2024-01-12 04:59

先锋WEB燃气收费系统 Upload.aspx 文件上传漏洞复现

0x02漏洞概述先锋WEB燃气收费系统/AjaxService/Upload.aspx接口处存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而
OidBoy_G·2024-01-12 03:12

先锋WEB燃气收费系统文件上传漏洞

指纹特征app="先锋WEB燃气收费系统"漏洞复现访问http://ip:port/AjaxService/Upload.aspx验证出现以下情况表明存在漏洞POST/AjaxService/Upload.aspxHTTP
LZsec·2024-01-12 03:12

深信服防火墙之安全评估与动态检测技术

目录1.风险分析技术1.1客户需求1.2功能介绍(1)对目标IP进行端口扫描(2)对目标网站进行弱密码扫描1.3配置思路2.WEB扫描技术2.1功能介绍(1)网站扫描(2)指纹识别(3)漏洞验证2.2配置思路
Go-0410·2024-01-12 03:55

CSRF漏洞

CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不
Splunker·2024-01-12 01:45

Ncast盈可视 高清智能录播系统 IPSetup.php信息泄露+RCE漏洞复现(CVE-2024-0305)

0x02漏洞概述广州盈可视电子科技有限公司高清智能录播系统可通过访客身份未授权访问/manage/IPSetup.php后台功能
OidBoy_G·2024-01-12 01:27

旧电影感想日志《王牌特工2》2017/10/22

剧情上面漏洞就不说了,从第一部编剧智商就是磨成肉浆做成汉堡了,所以无所谓剧情,反正大家都是朝着特技和反转去的。所以我们最好不要觉得导演第三部会复活梅林和罗克茜,这样下一部他们就真的能复活了。
丘神·2024-01-12 01:38

如何查看SSL证书到期时间

随着互联网的发展,SSL证书在保护网站安全方面发挥着越来越重要的作用,SSL证书过期之后带给网站的损失也比较大,许多网站管理员可能会忽略SSL证书到期的问题,从而导致网站安全漏洞
ssldun证书·2024-01-11 23:32

mud使用mysql_用linux构建仗剑江湖mud游戏服务器实战经历

在同学的怂恿下,我也下下来,并且在linux下成功建成服务器,在此只是说些自己的体会,因为在看原代码的过程中,发现了一个小小的漏洞,可以使利用者不用密码即可登陆。
桃子胖·2024-01-11 23:33

金和OA jc6 GetAttOut SQL注入漏洞复现

0x02漏洞概述金和OAjc6GetAttOut接口处存在SQL注入漏洞,攻击者除了可以利用SQL注
OidBoy_G·2024-01-11 23:33

Yearning front 任意文件读取漏洞复现

0x02漏洞概述Yearning2.3.1版本、InterstellarGA2.3.2版本和Neptune2.3.4-2.3.6版本存在安全漏洞,该漏洞源于存在一个任意文件读取漏洞
OidBoy_G·2024-01-11 23:32

594.从知道到做到(精,要)

本节播音核心:我们大多数人在知道和做到之间有一个巨大的思维漏洞,也就是知道和做到之间少了一环。从知道到做到(精,要)音核心:很多人有成功的心,但是没有成功者的耐心!
锡安的民·2024-01-11 23:40

用友U8+CRM 逻辑漏洞登录后台漏洞复现

0x02漏洞概述用友U8CRM客户关系管理系统reservationcomplete.php文件存在逻辑漏洞,未授权的攻击者通过漏洞可以直接登录后台,获取系统内部敏感信息,使系统处于极不安全状态。
OidBoy_G·2024-01-11 23:30

WEB漏洞-XSS跨站脚本漏洞解决方案参考

WEB漏洞-XSS跨站脚本漏洞解决方案-CSDN博客Java使用过滤器防止XSS脚本注入_防注入参数过滤-CSDN博客
Harbor Lau·2024-01-11 21:45

什么是 XSS 攻击,如何避免?

跨站脚本攻击(XSS攻击,Cross-SiteScripting)是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,使其在用户的浏览器上执行。
学习资源网·2024-01-11 21:13

Github全球第一的免费waf防火墙雷池社区版的语义分析检测算法

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性
知白y·2024-01-11 20:10

Java SSM 重制版(三)SpringSecurity

前置课程:《Spring核心内容》《SpringMvc》《JavaWeb》《Java9-17新特性》安全是开发者永远绕不开的话题,一个不安全的网站,往往存在着各种致命漏洞,只要被不法分子稍加利用,就能直接击溃整个网站
青空の霞光·2024-01-11 20:35

[渗透测试学习] Appointment - HackTheBox

StructuredQueryLanguageTask2最常见的SQL漏洞类型之一是什么?SQLinjectionTask3此漏洞的2021年OWASPTop10分类是什么?
_rev1ve·2024-01-11 20:00

用友移动管理系统 upload任意文件上传漏洞

漏洞描述用友移动系统管理系统/mobsm/common/upload等接口存在任意文件上传漏洞,未经授权攻击者通过漏洞上传任意文件,最终可以获取服务器权限。
keepb1ue·2024-01-11 19:53

智邦国际ERP系统 SQL注入漏洞

漏洞描述智邦国际ERP系统GetPersonalSealData.ashx接口处存在SQL注入漏洞,攻击者可利用此漏洞获取数据库敏感信息,深入利用可获取服务器权限。
keepb1ue·2024-01-11 19:53

世邦通信 SPON IP网络对讲广播系统addscenedata.php任意文件上传漏洞

漏洞描述sponIP网络对讲广播系统存在任意文件上传漏洞,攻击者可以通过构造特殊请求包上传恶意后门文件,从而获取服务器权限资产测绘icon_hash=“-1830859634”漏洞复现POST/php/
keepb1ue·2024-01-11 19:20

弈 - Codeql 自动运行和项目监控工具

CVE-2021-43798这里以Graana的任意文件读取漏洞举例说明使用方法(初学Codeql,如有错误之处,轻点喷)。该漏洞版本为8.0.0-8.3.0,修复版本为8.3.1,8.2.7,8.1
杭州默安科技·2024-01-11 19:07

K8S后渗透横向节点与持久化隐蔽方式探索

前言通常在红蓝对抗中,我们可能会通过各种方法如弱口令、sql注入、web应用漏洞导致的RCE等方法获得服务器的权限;在当前云原生迅猛发展的时代,这台服务器很可能是一个容器,在后续的后渗透由传统的提权变为容器逃逸
杭州默安科技·2024-01-11 19:31

阿里云弹性计算技术公开课-ECS 安全季 全新上线!

云上安全建设是一个体系化工程,需要用户主动进行多方面的考虑和实施,包括制定完善的安全策略和规范,如身份认证、访问控制、漏洞管理、安全审计、数据备份、数据加密等;建立安全监控与防御机制,当出现安全攻击时业务能快速止损等
云布道师·2024-01-11 19:56

Github全球第一的免费waf防火墙雷池社区版的语义分析检测算法

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性
H3h3QAQ·2024-01-11 18:05

PHP Web应用程序中常见漏洞

在本文中,我们将讨论PHPWeb应用程序中一些最常见的漏洞以及如何避免它们。1.SQL注入SQL注入是一种攻击,允许攻击者将恶意SQL代码注入Web应用程序。
一淘模板·2024-01-11 18:32

Github全球第一的免费waf防火墙雷池社区版的语义分析检测算法

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性
小名空鵼·2024-01-11 18:53

世邦通信SPON IP网络对讲广播系统rj_get_token.php 任意文件读取漏洞

漏洞描述sponIP网络对讲广播系统rj_get_token.php存在任意文件读取漏洞,攻击者可通过该漏洞在服务器端读取任意敏感文件。
keepb1ue·2024-01-11 16:09

《系统架构设计师教程(第2版)》第4章-信息安全技术基础知识-01-信息安全基础知识

设备安全2)数据安全3)内容安全4)行为安全1.3信息安全的意义2.信息存储安全2.1信息使用的安全1)用户的标识与验证2)用户存取权限限制2.2系统安全监控2.3计算机病毒防治3.网络安全3.1网络安全漏洞
玄德公笔记·2024-01-11 16:50
上一页 48 49 50 51 52 53 54 55 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他