samba漏洞

Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)

漏洞概述该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。
3tefanie丶zhou·2023-12-29 18:40

天擎终端安全管理系统clientinfobymid存在SQL注入漏洞

漏洞概述奇安信天擎终端安全管理系统控制台clientinfobymid接口处存在SQL注入漏洞,攻击者除了可以利用该SQL注入漏洞获取数据库中的
3tefanie丶zhou·2023-12-29 18:40

科荣AIO UtilServlet存在任意文件读取漏洞

文章目录产品简介漏洞概述指纹识别漏洞利用修复建议产品简介科荣AIO是一款企业管理软件,提供企业一体化管理解决方案。
3tefanie丶zhou·2023-12-29 18:37

防火墙之服务器安全检测和防御技术

一、服务器安全风险1、不必要的访问(如只提供HTTP服务)2、外网发起IP或者端口扫描、DDOS攻击等3、漏洞攻击(针对服务器操作系统等)4、根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限;
慕容天成·2023-12-29 17:11

主流笔记本电脑出现Windows Hello指纹识别身份身份验证漏洞

事件详情:在近日举行的BlueHat安全大会上,研究人员演示了如何利用嵌入式指纹传感器中的一个安全漏洞绕过戴尔、联想和微软品牌笔记本电脑上的WindowsHello指纹身份验证。
威胁情报收集站·2023-12-29 16:36

关于美国国防承包商 Belcan 爆出漏洞,泄露了一系列管理员数据的动态情报

一、基本内容美国政府和国防承包商Belcan将其超级管理员证书向公众开放,一个失误就导致严重的供应链攻击。Belcan是一家政府、国防和航空航天网络承包商,提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道,该公司在2022年的收入为9.5亿美元,是40多个美国联邦机构信赖的战略合作伙伴。二、相关发声情况5月15日,Cybernews研究小组发现了一个开放的Kibana实例,其中
威胁情报收集站·2023-12-29 16:06

关于Ivanti 曝新的 MobileIron 零日漏洞,正在被恶意利用的动态情报

一、基本内容美国IT软件公司Ivanti于2023年8月23日提醒客户,一个关键的SentryAPI身份验证绕过漏洞正在被恶意利用。
威胁情报收集站·2023-12-29 16:06

关于苹果iOS 16:揭开伪装成飞机模式的隐形蜂窝接入漏洞的动态情报

一、基本内容在日常生活中,网络威胁不断演变,给个人和组织带来了一系列重大挑战。网络犯罪分子使用的一种最常见的、最具破坏性的方法之一就是网络钓鱼。这种攻击方式通过电子邮件、短信或其他通讯渠道冒充可信实体,诱使个人泄露敏感信息,如用户名、密码或信用卡等详细信息。钓鱼网站是网络钓鱼攻击的一种常见手段。这种恶意网站的设计和技术含量并不高,往往利用人们贪图便宜的心理或者利用部分网民防范欺诈意识的薄弱。一旦个
威胁情报收集站·2023-12-29 16:02

为什么有的人知道那么多道理,却过不好自己的人生?

但是道理的正确是有条件的,如果你只细想想,这个道理其实漏洞很多。下面我给你分
米卡Mikca·2023-12-29 16:05

网安入门11——文件上传(前后端绕过,变形马图片马)

这里使用一个全新的靶场——Upload-LabsUpload-Labs是一个使用PHP语言编写、专注于文件上传漏洞的闯关式网络安全靶场。
挑不动·2023-12-29 16:11

网安入门00-OWASP Top 10 2021

OWASPTop10是OWASP发布的一份针对Web应用程序的安全漏洞报告。该报告列出了Web应用程序中最常见和最危险
挑不动·2023-12-29 16:11

网安入门07-Sql注入(二次注入)

看不到后端代码,只能依靠前端页面显示来判断是否有注入点白盒测试:可以看到后端代码,进行代码审计分析注入点白+黑:既可以看到后端代码,也可以看到前端页面的回显实战中黑盒占80%,客户提供源码白盒占5%,通过漏洞挖出源代码白
挑不动·2023-12-29 16:38

Jetty WEB-INF文件读取(CVE-2021-34429)

漏洞描述:可以使用一些编码字符来制作URI,以访问WEB-INF目录的内容和/或绕过一些安全限制。默认合规模式允许带有包含%u002e段的URI的请求访问WEB-INF目录中的受保护资源。
慕筱蚺·2023-12-29 16:31

jquery文件上传(CVE-2018-9207)

漏洞描述:jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月由JohnResig发布。
慕筱蚺·2023-12-29 16:31

Jetty Servlets URI路径限制绕过漏洞(CVE-2021-28169)

漏洞描述:JettyServlets中的ConcatServlet、WelcomeFilter类存在多重解码问题,当应用到这两个类之一时,攻击者就可以利用双重URL编码绕过限制来访问WEB-INF目录下的敏感文件
慕筱蚺·2023-12-29 16:31

Supervisord 远程命令执行漏洞(CVE-2017-11610)

漏洞描述:Supervisord是使用Python开发的进程管理程序,Supervisord能够将命令行进程或服务变为后台运行的deamon(守护进程)。
慕筱蚺·2023-12-29 16:26

警惕商家利用平台漏洞诈骗已经多人中招,谁来维护消费者合法权益?

改革开放成就了深圳特区,而经济特区成就了华强北这个神奇地方,这里电子产品一天24小时源源不断销往全世界国各地,好多国家地区的“倒爷”纷纷加入这个队伍,让这个地方越来越神奇,不得不怀疑是不是全世界高级人才全部流入华强北。有人发现苹果公司没有公开发行一部手机之前,华强北已经帮苹果公司想好下一代产品的机样直接上市。总之只有你想不到,没有华强北做不到的东西。快,便,靓,实惠,新奇让华强北在世界各地众多电子
昌锠·2023-12-29 16:52

渗透测试和风险评估之间的区别

渗透测试通过模拟真实攻击场景,发现系统中的漏洞和弱点,并提供修复建议。渗透测试通常包括以下步骤:信息收集、漏洞扫描、漏洞利用、权限提升和结果报告。
德迅云安全-小娜·2023-12-29 15:32

web渗透安全学习笔记:1、入门基础知识/ XXS漏洞

前言自编写python渗透工具编写学习笔记专栏以来,笔者便发现了一个较为严重的问题:我们大多数文章都是学习如何用python编写扫描与利用漏洞的渗透工具,却没有真正解析漏洞的形成原因,长此以往我们的学习就只会浮于表面
Knight ELeven·2023-12-29 14:45

漏洞复现(三):Apache HTTP Server漏洞(CVE-2021-41773 - 目录穿越引起的文件读取与命令执行)

目录漏洞简介漏洞复现一.Vulnerablefilereadconfig(易受攻击的文件读取配置)环境搭建漏洞利用二、VulnerableRCEconfig(易受攻击的RCE配置)环境搭建漏洞利用漏洞修复漏洞简介该漏洞是由于
源十三·2023-12-29 13:32

Apache Druid LoadData 任意文件读取 漏洞 CVE-2021-36749

0x01漏洞简介在Druid系统中,InputSource用于从某个数据源读取数据。
hana-u·2023-12-29 13:32

Apache Druid任意文件读取漏洞(CVE-2021-36749)

1.漏洞描述ApacheDruid是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。
chaojixiaojingang·2023-12-29 13:31

apache-CVE-2021-41773[42013]-漏洞复现

apache-CVE-2021-41773[42013]CVE-2021-41773影响范围为2.4.49CVE-2021-42013影响范围为2.4.49/50漏洞验证41773和42013在10月份时
csd_ct·2023-12-29 13:30

Apache Druid 任意文件读取漏洞CVE-2021-36749

CVE-2021-36749gobyexp声明代码poc集合声明本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。代码{"Name":"ApacheDruidAbritraryFileReadCVE-2021-36749","Level":"3","Tags":["fileread"],"GobyQuery":"title=
aetkrad·2023-12-29 13:00

CVE-2021-41773(Apache 文件读取&命令执行)复现

0.漏洞描述1、ApachehttpdServer2.4.49版本引入了一个具有路径穿越漏洞的新函数,但需要配合穿越的目录配置Requireallgranted,攻击者可利用该漏洞实现路径穿越从而读取任意文件
張童學·2023-12-29 13:29

apache 文件读取&命令执行(CVE-2021-41773)

漏洞描述:CVE-2021-41773漏洞是在9月15日发布的2.4.49版中对路径规范化所做的更改引入到ApacheHTTPServer中的。
慕筱蚺·2023-12-29 13:28

SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】

写在前面ssrf无论是生活中还是比赛中都是一种非常常见的漏洞。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。
sayo.·2023-12-29 12:07

SQL注入-md5加密参数漏洞(CTF例题)

漏洞成因php中的md5函数有一个可选参数,如果开发者写查询数据库函数时使用了这个参数,或者在数据存储时是md5后的字符串形式存储,都有可能产生这个漏洞
sayo.·2023-12-29 12:06

PHP反序列化-__wakeup()方法漏洞(CVE-2016-7124)

写在前面wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方:反序列化漏洞漏洞影响的版本PHP5";classctf{protected$username='hack
sayo.·2023-12-29 12:05

kali:arp攻击工具配置——简单局域网断网攻击

kali:arp攻击工具配置——简单局域网断网攻击简述:利用arp协议漏洞,发出伪造的arp包,更改目标的arp缓存,造成局域网网络中断或使用中间人攻击。
sayo.·2023-12-29 12:35

漏洞情报 | CVE-2022-0847 Linux 本地内核提权漏洞(剑幕支持检测)

漏洞详情研究人员披露Linux内核5.8及以上版本中存在本地提权漏洞(CVE-2022-0847,DirtyPipe)。
杭州默安科技·2023-12-29 11:31

提升开发安全5大成熟度 跨国企业落地默安“一站式”方案

在数字化转型发展和云原生环境下,各政企单位的业务系统在互联网的暴露面大大增加,一旦上线系统存在漏洞,就很容易被不法分子发现并利用,造成不可估量的损失。
杭州默安科技·2023-12-29 11:01

Apache Jackrabbit漏洞浅析

ApacheJackrabbit是一个Java开源内容存储库,1.0.0RMI/rmiRMIorg.apache.jackrabbit.servlet.remote.RemoteBindingServlet参考官方示例用URLRemoteRepository("http://localhost:8080/rmi");把Stub接下来,接口里的方法并不多,最接近Object的自然是Credentia
杭州默安科技·2023-12-29 11:27

spring-session升级之坑

项目场景:因为某些组件低版本存在漏洞问题,本次对项目的springboot版本从1.x升级到了2.x,因为其他相关的中间件也随着一起升级,在升级最后发现项目用户信息无法获取到了。
不务专业的程序员--阿飞·2023-12-29 11:49

Shell脚本通过渗透测试检测服务器安全!

以下是一个简单的Shell脚本通过渗透测试来发现服务器漏洞的例子:#!
静姐说测试·2023-12-29 11:36

CNAS中兴新支点——源代码审计对企业有哪些好处?

源代码扫描,对应用程序进行静态漏洞扫描,分析源代码中存在的安全风险,运行应用于模拟器中对应用进行实时漏洞攻击检测。你是否了解源代码扫描对企业的好处?
新支点小星·2023-12-29 10:19

小型企业成为网络犯罪分子获取数据的目标

由于任何漏洞都可能为攻击者提供进入链条中其他组织的途径,因此犯罪分子经常利用中小型企业采用的较弱的安全措施。与此同时,网络犯罪黑市反映了合法服务的创新。
网络研究院·2023-12-29 10:31

【CISSP学习笔记】5. 安全架构和工程

StarModel、Bell-LaPadula等模型)基于系统安全要求选择控制措施理解信息系统(IS)的安全功能(例如:内存保护、可信赖平台模块(TPM)、加密/解密)评估并降低安全架构、设计和解决方案方面的漏洞选择和确定加密解决方案理解密码分析攻击方法将安全原理运
筑梦之月·2023-12-29 10:58

网络安全风险评估70问

风险的来源和程度随着威胁形势而不断变化,威胁实施者也在不断部署新技术并利用新发现的漏洞。网络安全熵网络世界类似于物理学中的熵概念。熵是系统无序的量度。熵越高,系统就越混乱。
知白守黑V·2023-12-29 09:18

OpenSSH漏洞CVE-2023-51385可能允许远程执

OpenSSH中发现了一个高严重性漏洞,攻击者可能利用该漏洞在目标系统上执行任意命令。
极道Jdon·2023-12-29 09:58

读《探索式软件测试》笔记(一)

要做到这点,需要关注三个方面,分别是重复,技术,漏洞。重复,做一件事,绝对不要重复两次而不意识到或质疑这其实是一个问题。测
AlinaLv1985·2023-12-29 09:48

SQL注入讲解:保护你的数据库安全

SQL注入(SQLInjection)是一种常见的网络安全漏洞,它利用了应用程序对用户输入数据的处理不当,从而使攻击者能够执行未经授权的SQL语句。
kkwyting·2023-12-29 09:13

python渗透工具编写学习笔记:9、web漏洞检测与利用脚本

前言此篇我们来学习python编写web渗透中检测与利用漏洞的工具,在本篇的最后,我们将学习漏洞的防治。坚持科技向善,勿跨越法律界限,代码仅供教学目的。初出茅庐,如有错误望各位不吝赐教。
Knight ELeven·2023-12-29 08:48

python渗透工具编写学习笔记:8、无线网络渗透

目录前言8.1概念8.2无线网络发现8.3无线网络弱点分析8.3.1使用Scapy来探测无线网络8.3.2使用Aircrack-ng工具8.4无线网络密码破解8.5无线网络漏洞利用:8.6无线网络流量分析
Knight ELeven·2023-12-29 08:06

Windows Server 2012 R2服务器Microsoft 消息队列远程代码执行漏洞CVE-2023-21554补丁KB5025288的安装及问题解决

近日,系统安全扫描中发现WindowsServer2012R2服务器存在Microsoft消息队列远程代码执行漏洞。本文记录补丁安装中遇到的“此更新不适用于你的计算机”问题及解决办法。
代先生.重庆·2023-12-29 07:35

xxl-job弱口令登录后台RCE复现渗透测试

任务官方地址中文版:http://www.xuxueli.com/xxl-job漏洞影响xxl-job全版本,获取后台权限可以管理所有的任务管理,甚至可以执行指令,接管服务器。
烽铃子·2023-12-29 07:44

浅析xxl-obj分布式任务调度平台RCE漏洞

文章目录前言本地环境搭建1、初始化数据库2、搭建调度中心3、搭建出执行器XXL-JOB漏洞1、后台弱口令->RCE2、未授权API->RCE3、默认accessToken4、CVE-2022-361575
Tr0e·2023-12-29 07:12

docker gitlab14.4.2-14.10.5升级过程记录

1背景公安局来检查,并出具了,因gitlab版本较旧,存在两个高危漏洞,所以让升级.2漏洞说明代码管理服务器(gitlab)总计检测出两个漏洞分别是cve-2022-0735cve-2022-21852.1cve
zhangbin-eos·2023-12-29 07:00

通过nginx配置防御web漏洞

一、常见web漏洞二、nginx防御策略:要使用Nginx配置防御Web漏洞,可以采取以下措施:禁用不必要的HTTP方法:Nginx默认启用了许多HTTP方法,如PUT、DELETE等。
奋力向前123·2023-12-29 06:32

文件包含之php伪协议

文件包含基本概念严格来说,文件包含漏洞是"代码注入"的一种。"代码注入"这种攻击,其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行。"
Verminsec·2023-12-29 03:32
上一页 66 67 68 69 70 71 72 73 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他