E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
web安全漏洞复现
Web安全
防护
一、
Web安全
简介二、Web攻击来源1、客户端:2、服务器:3、通道:三、Web应用基本组成部分URL工作过程HTTP/HTTPSHTTP有两类报文HTTP请求报头HTTP协议请求方法状态码状态码组成三
数通工程师小明
·
2024-01-06 10:07
web安全
安全
网络安全
网络
常见的
web安全
及解决办法
1、xss攻击跨站脚本攻击,指通过用户浏览器运行非法的html或者js的一种攻击。原理是攻击者往web页面里面插入恶意执行的代码,导致用户信息泄漏。xss攻击又分为两种,非持久性xss攻击和持久性xss攻击。非持久性xss攻击:点击带有恶意脚本代码的url,当url被打开的时候,脚本执行,造成攻击。这种攻击需要用户点击,不需要服务器存储,直接通过getpost请求就能完成攻击,造成用户信息泄漏。持
蛋蛋wqt
·
2024-01-06 10:27
后端
用友U8 Cloud smartweb2.RPC.d XXE
漏洞复现
0x01产品简介用友U8Cloud提供企业级云ERP整体解决方案,全面支持多组织业务协同,实现企业互联网资源连接。U8Cloud亦是亚太地区成长型企业最广泛采用的云解决方案。0x02漏洞概述用友U8Cloudsmartweb2.RPC.d接口处存在XXE漏洞,攻击者可通过该漏洞获取敏感文件信息,攻击者添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器。0x03复现环境FOFA:ap
OidBoy_G
·
2024-01-06 09:59
漏洞复现
安全
web安全
金蝶Apusic应用服务器 loadTree JNDI注入漏洞
资产测绘app.name=“Apusic金蝶天燕Server”
漏洞复现
测试POC:POST/appmonitor/protect/jndi/loadT
keepb1ue
·
2024-01-06 09:20
漏洞复现
web安全
安全
服务器
金和OA JC6 ntko-upload 任意文件上传漏洞
资产测绘app=“Jinher-OA”
漏洞复现
POC:POST/jc6/ntkoUpload/ntko
keepb1ue
·
2024-01-06 08:34
漏洞复现
web安全
安全
Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter
WebSecurityConfigurerAdapter,而且我们知道SpringBoot中的自动配置实际上是通过自动配置包下的SecurityAutoConfiguration总配置类上导入的SpringBoot
Web
码农小胖哥
·
2024-01-06 06:28
2020-10-24Apache Flink未授权访问-远程代码命令执行-复现
好久没更新了,今天趁1024更新一篇,最近工作中遇到这个漏洞,今天自己来做一下这个
漏洞复现
。
thelostworldSec
·
2024-01-06 06:32
安全:什么是
Web安全
背景说来惭愧,6年的web编程生涯,一直没有真正系统的学习
web安全
知识(认证和授权除外),这个月看了一本《
Web安全
设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获
中科恒信
·
2024-01-06 01:24
官宣,终于上线:
Web安全
测试课程重磅发布
川石教育正式推出全新课程体系
Web安全
测试,下面就从安全工程师的薪资待遇、发展前景、发展路线、课程大纲、课程目标、课程特色、课程服务等方面一一介绍。
川石教育
·
2024-01-05 21:07
web安全
软件测试
安全性测试
网络安全
网络安全测试
web安全测试
Apache Struts2远程代码执行漏洞(S2-007)
漏洞简介s2-007:当配置了验证规则,类型转换出错时,进行了错误的字符串拼接,进而造成了OGNL语句的执行;
漏洞复现
靶机用的是墨者学院抓包,在age值处输入poc;%27%2B(%23application
Yolo山药
·
2024-01-05 19:22
Struts2漏洞复现
apache
struts
java
Apache Struts2远程代码执行漏洞(S2-001)
漏洞简介s2-001漏洞原理:用户提交表单时,后端会将OGNL表达式%{value}进行解析
漏洞复现
在账号或者密码框中输入%{1+1}点击登陆后,账号或者密码框执行了表达式并且将2显示在输入框中,说明存在这种漏洞执行
Yolo山药
·
2024-01-05 19:22
Struts2漏洞复现
apache
struts
java
Apache Struts2远程代码执行漏洞(S2-016)
漏洞复现
s2-106的漏洞情况,参考链接如下:https://www.jianshu.com/p/de165430e8a8验证漏洞:我们可以在后面添加index.action?
Yolo山药
·
2024-01-05 19:51
Struts2漏洞复现
apache
struts
java
Apache Struts2远程代码执行漏洞(S2-019)
漏洞简介s2-019:动态方法调用是一种已知会施加可能的安全漏洞的机制,但到目前为止,它默认启用,警告用户应尽可能将其关闭;
漏洞复现
靶机选择墨者学院?
Yolo山药
·
2024-01-05 19:51
Struts2漏洞复现
apache
struts
java
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:19
vulhub
vulhub漏洞复现
Apache
Struts2
远程代码执行漏洞
s2-052
CVE-2017-9805
[ vulhub
漏洞复现
篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:48
vulhub
渗透测试自学篇
vulhub漏洞复现
Struts2
远程代码执行漏洞
S2-009
CVE-2011-3923
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞s2-045(CVE-2017-5638)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:48
vulhub
渗透测试自学篇
vulhub漏洞复现
struts2
远程代码执行
s2-045
CVE-2017-5638
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞s2-016(CVE-2013-2251)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:48
vulhub
渗透测试自学篇
vulhub漏洞复现
struts2
s2-016
CVE-2013-2251
网络安全
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:47
vulhub
渗透测试自学篇
vulhub漏洞复现
struts2
远程代码执行漏洞
S2-008
CVE-2012-0391
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:17
vulhub
渗透测试自学篇
vulhub漏洞复现
struts2
远程代码执行
S2-005
CVE-2010-1870
[ vulhub
漏洞复现
篇 ] struts2远程代码执行漏洞S2-007(CVE-2012-0838)
博主介绍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【
web安全
】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell
·
2024-01-05 19:16
vulhub
渗透测试自学篇
vulhub漏洞复现
struts2
远程代码执行
S2-007
CVE-2012-0838
【
漏洞复现
】ActiveMQ文件上传漏洞(CVE-2016-3088)
Nx01产品简介ApacheActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。ActiveMQ是消息队列服务,是面向消息中间件(MOM)的最终实现,它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。Nx02漏洞描述ApacheActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。Jetty是一个开源的servlet容器,它为基于Java的web容器,
晚风不及你ღ
·
2024-01-05 16:06
【漏洞复现】
web安全
【
漏洞复现
】ActiveMQ反序列化漏洞(CVE-2015-5254)
Nx01产品简介ApacheActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。ActiveMQ是消息队列服务,是面向消息中间件(MOM)的最终实现,它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。Nx02漏洞描述RedHatJBossApplicationServer是一款基于JavaEE的开源应用服务器。JBossAS4.x及之前版本中,JbossMQ实现过程的
晚风不及你ღ
·
2024-01-05 16:06
【漏洞复现】
web安全
【
漏洞复现
】通天星CMSV6车载监控平台FTP匿名访问
Nx01产品简介深圳市通天星科技有限公司,是一家以从事计算机、通信和其他电子设备制造业为主的企业。通天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交通上。Nx02漏洞描述通天星车载视频监控平台软件安装完毕后会默认开放2121端口作为ftp服务使用,管理员疏忽未进行关闭可能造成敏感信息泄
晚风不及你ღ
·
2024-01-05 16:05
【漏洞复现】
web安全
【
漏洞复现
】通天星CMSV6车载监控平台未授权访问漏洞
Nx01产品简介深圳市通天星科技有限公司,是一家以从事计算机、通信和其他电子设备制造业为主的企业。通天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交通上。Nx02漏洞描述通天星车载视频监控平台软件LoggerManagement/logIndex.html功能页面未进行有效鉴权操作,导
晚风不及你ღ
·
2024-01-05 16:01
【漏洞复现】
web安全
三种解密 HTTPS 流量的方法介绍
Web安全
是一项系统工程,任何细微疏忽都可能导致整个安全堡垒土崩瓦解。
1024小神
·
2024-01-05 12:06
软件工具
https
网络协议
http
Apache HTTPD 换行解析漏洞(CVE-2017-15715)详解
157152.运行docker-composebuilddocker-composebuild3.运行docker-composeup-d4.查看docker-composeps5.访问出现这个表示安装成功6.
漏洞复现
爱喝水的泡泡
·
2024-01-05 11:24
apache
基于Bboss快速构建高效、可靠、安全的Elasticserach全文检索以及统计分析应用
同时,严格遵守
WEB安全
规范,从根本上避免SQL注入、XSS攻击、CSRF攻击等常见的We
hope笔记
·
2024-01-05 09:40
Java
全文检索
java
elasticsearch
福建科立讯通信 指挥调度管理平台多处RCE
漏洞复现
0x01产品简介福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。0x02漏洞概述福建科立讯通信有限公司指挥调度管理平台vmon
OidBoy_G
·
2024-01-05 09:38
漏洞复现
安全
网络
智邦国际ERP系统 SQL注入
漏洞复现
0x01产品简介北京智邦国际软件技术有限公司的ERP系统是一种集成化的企业资源计划(EnterpriseResourcePlanning,简称ERP)解决方案,旨在帮助企业实现高效的运营管理和资源优化。0x02漏洞概述智邦国际ERP系统GetPersonalSealData.ashx接口处存在SQL注入漏洞,未经身份认证的攻击者可利用此漏洞获取数据库敏感信息,深入利用可获取服务器权限。0x03复现
OidBoy_G
·
2024-01-05 09:38
漏洞复现
安全
web安全
福建科立讯通信 指挥调度管理平台 多处文件上传
漏洞复现
0x01产品简介福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。0x02漏洞概述福建科立讯通信有限公司指挥调度管理平台uplo
OidBoy_G
·
2024-01-05 09:38
漏洞复现
安全
web安全
网络
SemCms外贸网站商城系统 SQL注入
漏洞复现
(CVE-2023-50563)
0x01产品简介SemCms是国内团队打造的专门针对外贸网站的开源CMS,主要用于外贸企业,兼容IE,Firefox等主流浏览器。建设商城性质的外贸网站,多语言(小语种)网站。0x02漏洞概述SemCms外贸网站商城系统SEMCMS_Function.php中的AID参数存在SQL注入漏洞,未经身份认证的攻击者可通过此漏洞获取数据库权限,深入利用可获取服务器权限0x03影响范围SEMCMSv4.8
OidBoy_G
·
2024-01-05 09:35
漏洞复现
安全
web安全
4月28日
中国信息安全测评中心联合安恒信息,于2017年推出注册
Web安全
工程师(简称CWSE),工业控制系统安全工程师(简称ICSSE),大数据安全分析师和云计算安全工程师认证。
柒月是你的忧伤
·
2024-01-04 11:02
Apache Tomcat(CVE-2019-0232)远程代码执行
漏洞复现
0x00简介Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache服务器的扩展,但运行时它是独立运行的,所以当你运
5f4120c4213b
·
2024-01-04 09:24
数据库攻防学习之MySQL
0x02环境搭建这里演示用,phpstudy搭建的环境,然后安装phpmyadmin0x03
漏洞复现
日志文件包含getshell利用前提知道网站路径,mysql版本大于5.0利用条件需要可读可写
合天网安实验室
·
2024-01-04 07:31
经验分享
网络安全
渗透测试
数据库
mysql
数据库攻防
mongodb数据库
漏洞复现
--海康威视IP网络对讲广播系统远程命令执行
免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述海康威视网络对讲广播系统是海康威视提供的安防解决方案的一部分,用于管理和实现对讲和广播功能。该产品存在远
芝士土包鼠
·
2024-01-04 06:05
漏洞复现
网络安全
安全
web安全
【
漏洞复现
】系列集合
该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作ApacheApache_HTTPD_未知后缀名解析Apache_HTTPD_换行解析(CVE-2017-15715)Apache_HTTPD_多后缀解析Apache_HTTP_2.4.50_路径穿越(CVE-2021-42013)Apache_HTTP_2.4.49_路径穿越(CVE-2021-41773)TomcatApach
过期的秋刀鱼-
·
2024-01-04 05:48
#
漏洞复现
漏洞复现
web安全
【
漏洞复现
】Memcached 未授权访问
Memcached未授权访问漏洞说明内容漏洞编号CVE-2013-7239漏洞名称Memcached未授权访问漏洞评级影响范围Memcached全版本漏洞描述修复方案见底部;1.1、漏洞描述Memcached是一套常用的key-value分布式高速缓存系统由于memcached安全设计缺陷,默认的11211端口不需要密码即可访问,导致攻击者可直接链接memcache服务的11211端口获取数据库中
过期的秋刀鱼-
·
2024-01-04 05:18
#
漏洞复现
memcached
数据库
缓存
漏洞复现
-科荣AIO存在任意文件读取漏洞(附漏洞检测脚本)
免责声明文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责漏洞描述科荣AIO---集成进销存,财务,OA,CRM,HR,电子商务一体化企业管理软件。该系统存在任意文件读取漏洞f
炼金术师诸葛亮
·
2024-01-03 17:36
安全
web安全
漏洞复现
-海康威视网络对讲广播系统远程命令执行漏洞(附漏洞检测脚本)
免责声明文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责漏洞描述海康威视IP网络对讲机系统存在远程命令执行漏洞,通过此漏洞攻击者可在服务器上执行任意命令,控制服务器。fofa
炼金术师诸葛亮
·
2024-01-03 17:34
安全
web安全
Afuzz:一款功能强大的自动化Web路径模糊测试工具
关于AfuzzAfuzz是一款功能强大的自动化Web路径模糊测试工具,该工具专为
Web安全
专家和漏洞奖励Hunter设计,可以帮助我们以自动化的形式扫描和收集目标Web应用程序中的页面、语言和相关统计分析等数据
FreeBuf_
·
2024-01-03 13:09
自动化
前端
测试工具
想学黑客技术(网络安全),我劝你还是算了吧
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如
Web安全
技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊
·
2024-01-03 09:20
web安全
安全
网络安全
网络
python
开发语言
php
小白想学网络安全(黑客技术),我劝你还是算了吧
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如
Web安全
技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊
·
2024-01-03 09:20
安全
网络
web安全
网络安全
php
python
开发语言
网络安全(黑客)——自学
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如
Web安全
技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊
·
2024-01-03 09:16
web安全
网络安全
开发语言
php
python
flask web学习之flask与http(四)
文章目录一、重定向进阶功能1.1重定向回上一个页面1.2对URL进行安全验证二、使用Ajax技术发送异步请求2.1什么是Ajax2.2使用jQuery发送Ajax请求三、服务器推送四、
web安全
规范1.
此处不留情
·
2024-01-03 08:39
flask学习
flask
【
漏洞复现
】浙大恩特客户资源管理系统 fileupload.jsp 任意文件上传漏洞
文章目录前言声明一、系统概述二、漏洞描述三、资产探测四、
漏洞复现
五、修复建议前言杭州恩软信息技术有限公司客户资源管理系统fileupload.jsp接口存在安全漏洞,攻击者可通过上传恶意脚本应用,获取服务器控制权限
李火火安全阁
·
2024-01-03 01:16
漏洞复现
java
【
漏洞复现
】某检测系统(admintool)接口任意文件上传漏洞
文章目录前言声明一、漏洞详情二、影响版本三、
漏洞复现
四、修复建议前言湖南建研检测系统admintool接口任意文件上传漏洞,攻击者可通过该漏洞获取服务器敏感信息。
李火火安全阁
·
2024-01-03 01:16
漏洞复现
Web漏洞
VMware vcenter/ESXI系列漏洞总结
VMwareESXiSFCB身份验证绕过漏洞(CVE-2021-21994)2、VMwareESXiOpenSLP拒绝服务漏洞(CVE-2021-21995)漏洞三、VMwarevCenterServer任意文件上传
漏洞复现
李火火安全阁
·
2024-01-03 01:45
经验知识总结
VMware
ESXI
VMware
vCenter
【
漏洞复现
】CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
文章目录声明前言一、漏洞简介二、影响范围三、环境搭建四、
漏洞复现
五、修复方法六、参考链接声明仅供安全研究和技术学习,切勿用于非法用途,切记!
李火火安全阁
·
2024-01-03 01:15
漏洞复现
php
laravel
web安全
【
漏洞复现
】OpenSSH ProxyCommand命令注入漏洞(CVE-2023-51385)
文章目录前言一、漏洞背景二、漏洞详情三、影响范围四、漏洞验证前言OpenSSH存在命令注入漏洞(CVE-2023-51385),攻击者可利用该漏洞注入恶意Shell字符导致命令注入。一、漏洞背景OpenSSH是SSH(SecureSHell)协议的免费开源实现。SSH协议族可以用来进行远程控制,或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、rcpftp、rlogi
李火火安全阁
·
2024-01-03 01:45
漏洞复现
系统安全
OpenSSH
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.基本方向:1.
web
Python_chichi
·
2024-01-03 01:25
职业发展
python入门
python开发
python
开发语言
上一页
10
11
12
13
14
15
16
17
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他