漏洞共28篇
Spring漏洞综合利用工具及应用-山海云端论坛

Spring漏洞综合利用工具及应用

漏洞描述: Spring Cloud Gateway命令执行(CVE-2022-22947)Spring Cloud Gateway存在远程代码执行漏洞,攻击者可通过恶意创建允许在远程主机上执行任意远程请求的Actuator端点进行攻击。漏洞...
今年一定会發財的头像-山海云端论坛今年一定会發財9天前
03914
WordPress插件漏洞自动利用工具 CVE-2023-3076-山海云端论坛

WordPress插件漏洞自动利用工具 CVE-2023-3076

简介 WordPress是一款广泛使用的开源内容管理系统,拥有丰富的插件生态系统。然而,随着其用户规模的不断扩大,对WordPress插件安全性的关注也日益增加。CVE-2023-3076是一项针对WordPress插件...
今年一定会發財的头像-山海云端论坛今年一定会發財10天前
02811
泛微E-Cology系统SQL注入漏洞预警-山海云端论坛

泛微E-Cology系统SQL注入漏洞预警

前言: 泛微协同管理应用平台E-Cology是一套功能丰富的企业协同管理平台,集成了企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应...
今年一定会發財的头像-山海云端论坛今年一定会發財10天前
0225
Microsoft Office 远程代码执行漏洞 CVE-2022-30190:安全警报-山海云端论坛

Microsoft Office 远程代码执行漏洞 CVE-2022-30190:安全警报

0x00 漏洞复现环境 在进行漏洞复现前,需要搭建以下环境: 目标机:Windows 10,Office 2013 专业版 攻击机:Kali Linux 网络设置:NAT 模式 0x01 漏洞复现 复现一、利用POC进行反弹shell 利用 ...
今年一定会發財的头像-山海云端论坛今年一定会發財11天前
02711
SRC挖掘实战:探寻莫名其妙的漏洞及解决方案-山海云端论坛

SRC挖掘实战:探寻莫名其妙的漏洞及解决方案

前言 真实案例,文中所写漏洞现已经被修复,厚码分享也是安全起见,请各位大佬见谅哈! 案例一:奇怪的找回密码方式 某次漏洞挖掘的过程中,遇到某单位的登录框,按以往的流程测试了一下发现并...
子玺的头像-山海云端论坛子玺25天前
0327
PHP代码审计详解及入门指南-山海云端论坛

PHP代码审计详解及入门指南

目录 0x00. 代码审计目的 0x01. 代码审计基础 0x02. 代码审计思路 0x03. PHP核心配置 0x04. 代码审计环境 0x05. 手动调试代码 0x06. PHP的弱类型 0x07. 学习'漏洞'函数 0x08. 代码审计总结 0x00...
子玺的头像-山海云端论坛子玺25天前
03212
简单测评一次 log4j 漏洞:优化你的安全测试体验-山海云端论坛

简单测评一次 log4j 漏洞:优化你的安全测试体验

在去年log4j漏洞刚爆发的时候,很多平台都存在漏洞,当时也在第一时间在有授权的情况下对某论坛进行了渗透测试,结果发现存在漏洞,报告之后,漏洞也被很快修复。 本次对该渗透过程进行一个简单...
子玺的头像-山海云端论坛子玺25天前
0277
漏洞披露:公众号商城服务1分钱购物的安全隐患分析

漏洞披露:公众号商城服务1分钱购物的安全隐患分析”

前言 支付漏洞是一个攻击者可以通过利用漏洞,窃取用户支付信息或篡改订单,从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因...
子玺的头像-山海云端论坛子玺28天前
04314
NginxWebUI 管理认证绕过漏洞(适用于所有版本)-山海云端论坛

NginxWebUI 管理认证绕过漏洞(适用于所有版本)

在本章节中,我们探讨了一款名为nginxWebUI的软件中存在的一个严重漏洞,攻击者可通过注入autoKey来轻松绕过认证机制。该漏洞的存在使得黑客能够在系统内执行恶意操作,而无需提供正确的用户名...
今年一定会發財的头像-山海云端论坛今年一定会發財36天前
0326
用友U8Cloud ServiceDispatcher反序列化漏洞风险提示及解决方案-山海云端论坛

用友U8Cloud ServiceDispatcher反序列化漏洞风险提示及解决方案

最近,用友官方迅速响应并发布了一则漏洞情报,及时提供了补丁,并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中,ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...
今年一定会發財的头像-山海云端论坛今年一定会發財36天前
05014
GraphQL API 安全:漏洞探测与防御-山海云端论坛

GraphQL API 安全:漏洞探测与防御

GraphQL 漏洞通常源于实现和设计缺陷。其中,内省功能可能保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。 GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数据或执行未经...
今年一定会發財的头像-山海云端论坛今年一定会發財37天前
04712
漏洞警报|Nacos Jraft Hessian反序列化漏洞-山海云端论坛

漏洞警报|Nacos Jraft Hessian反序列化漏洞

近期,长亭科技监测到 Nacos 发布新版本修复了一个远程代码执行漏洞。 经过漏洞分析后,发现该系统应用较为广泛,且漏洞影响范围较大。应急团队根据该漏洞的原理,编写了 X-POC 远程检测工具和...
今年一定会發財的头像-山海云端论坛今年一定会發財38天前
0487
阿里云PostgreSQL漏洞技术分析及应对策略-山海云端论坛

阿里云PostgreSQL漏洞技术分析及应对策略

云安全公司Wiz披露了阿里云数据库服务ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreSQL的一连串严重漏洞。这些漏洞被Wiz命名为“BrokenSesame”,允许攻击者突破租户的隔离保护机制,从...
今年一定会發財的头像-山海云端论坛今年一定会發財38天前
0336
泛微 Ecology OA 存在 SQL 注入漏洞 | 安全风险警示-山海云端论坛

泛微 Ecology OA 存在 SQL 注入漏洞 | 安全风险警示

泛微 Ecology OA 是一款综合性协同管理平台,涵盖企业门户、文档管理、工作流程、人力资源、客户关系、项目、财务、资产、供应链等功能。 由于泛微 Ecology OA 系统未正确处理用户输入数据过滤...
今年一定会發財的头像-山海云端论坛今年一定会發財38天前
0496