在我们的计算机上存储着大量敏感文件，包括浏览器存储的网站登录密码。为了防止丢失，有些人甚至将密码存放在文本文件中。然而，一旦攻击者获取了这些文件，可能导致严重的后果。 🌵攻击原理 不...

最近，用友官方迅速响应并发布了一则漏洞情报，及时提供了补丁，并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中，ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...

Typecho与WordPress一样，是一款简洁的博客程序。相比于后者，Typecho更加简单轻量。然而，最近曝光了最新版本存在存储型跨站脚本（XSS）漏洞。本文将简要说明该漏洞的复现和利用方法。 漏洞复...

在本章节中，我们探讨了一款名为nginxWebUI的软件中存在的一个严重漏洞，攻击者可通过注入autoKey来轻松绕过认证机制。该漏洞的存在使得黑客能够在系统内执行恶意操作，而无需提供正确的用户名...

SQL注入是一种常见的网络安全漏洞，攻击者利用不当处理用户输入的代码，通过构造恶意的SQL查询语句，使得数据库执行非预期的操作，从而窃取、修改或删除数据，甚至获取系统权限。在CTF竞赛中，S...

前言 支付漏洞是一个攻击者可以通过利用漏洞，窃取用户支付信息或篡改订单，从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因...

2020年8月11日，微软发布了CVE-2020-1472，也称为Netlogon特权提升漏洞的修复公告。该漏洞影响了Netlogon远程协议（MS-NRPC），允许攻击者在与域控制器建立易受攻击的Netlogon安全通道时提升特...

在去年log4j漏洞刚爆发的时候，很多平台都存在漏洞，当时也在第一时间在有授权的情况下对某论坛进行了渗透测试，结果发现存在漏洞，报告之后，漏洞也被很快修复。 本次对该渗透过程进行一个简单...

网络安全漏洞已经并将继续成为企业面临的主要问题。因此，对于企业领导者来说，了解这些违规行为的原因至关重要，这样他们才能更好地保护他们的数据。在这篇博文中，我们将概述 2023 年比较普遍...

越是面对久经考验的安全机制，实现时越应谨慎小心，因为系统往往十分依赖它们。 经过十余年发展，区块链逐渐得到了世界的关注，引发了一波又一波的区块链热潮，有人视之为信仰，有人预言其为第...

目录 0x00. 代码审计目的 0x01. 代码审计基础 0x02. 代码审计思路 0x03. PHP核心配置 0x04. 代码审计环境 0x05. 手动调试代码 0x06. PHP的弱类型 0x07. 学习'漏洞'函数 0x08. 代码审计总结 0x00...

漏洞描述： Grafana存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 危害等级： 「高危」 FOFA 查询： app='Grafana' 影响范围： Grafana 8.0.0 ...

当我们审查Zabbix的源代码时，我们发现了一个严重的安全漏洞，它位于Zabbix的用户界面(UI)的身份验证部分。这个漏洞是一种跨站请求伪造（CSRF）漏洞，它允许未经身份验证的攻击者接管Zabbix管理...

前言 真实案例，文中所写漏洞现已经被修复，厚码分享也是安全起见，请各位大佬见谅哈！ 案例一：奇怪的找回密码方式 某次漏洞挖掘的过程中，遇到某单位的登录框，按以往的流程测试了一下发现并...