漏洞共28篇
排序
漏洞警报|Nacos Jraft Hessian反序列化漏洞
近期,长亭科技监测到 Nacos 发布新版本修复了一个远程代码执行漏洞。 经过漏洞分析后,发现该系统应用较为广泛,且漏洞影响范围较大。应急团队根据该漏洞的原理,编写了 X-POC 远程检测工具和...
1个月前
Spring漏洞综合利用工具及应用
漏洞描述: Spring Cloud Gateway命令执行(CVE-2022-22947)Spring Cloud Gateway存在远程代码执行漏洞,攻击者可通过恶意创建允许在远程主机上执行任意远程请求的Actuator端点进行攻击。漏洞...
35天前
探索乐趣无穷的MSF中的精彩Post模块:完美选择等你来挑战
一旦受害者的系统遭到攻击者入侵,攻击者就可以利用 Metasploit 框架中提供的 478 个后期开发模块之一来收集有关受害者的信息或证据。Metasploit 框架不断更新,使得后期渗透更加丰富多彩。通过...
2个月前
GraphQL API 安全:漏洞探测与防御
GraphQL 漏洞通常源于实现和设计缺陷。其中,内省功能可能保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。 GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数据或执行未经...
1个月前
Kali系统敏感文件收集:探索系统安全的必备工具
在我们的计算机上存储着大量敏感文件,包括浏览器存储的网站登录密码。为了防止丢失,有些人甚至将密码存放在文本文件中。然而,一旦攻击者获取了这些文件,可能导致严重的后果。 🌵攻击原理 不...
2个月前
用友U8Cloud ServiceDispatcher反序列化漏洞风险提示及解决方案
最近,用友官方迅速响应并发布了一则漏洞情报,及时提供了补丁,并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中,ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...
1个月前
Typecho 存储型 XSS 漏洞的复现与修复方法
Typecho与WordPress一样,是一款简洁的博客程序。相比于后者,Typecho更加简单轻量。然而,最近曝光了最新版本存在存储型跨站脚本(XSS)漏洞。本文将简要说明该漏洞的复现和利用方法。 漏洞复...
2个月前
NginxWebUI 管理认证绕过漏洞(适用于所有版本)
在本章节中,我们探讨了一款名为nginxWebUI的软件中存在的一个严重漏洞,攻击者可通过注入autoKey来轻松绕过认证机制。该漏洞的存在使得黑客能够在系统内执行恶意操作,而无需提供正确的用户名...
1个月前
CTF考点总结:SQL注入技术解析
SQL注入是一种常见的网络安全漏洞,攻击者利用不当处理用户输入的代码,通过构造恶意的SQL查询语句,使得数据库执行非预期的操作,从而窃取、修改或删除数据,甚至获取系统权限。在CTF竞赛中,S...
1个月前
漏洞披露:公众号商城服务1分钱购物的安全隐患分析”
前言 支付漏洞是一个攻击者可以通过利用漏洞,窃取用户支付信息或篡改订单,从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因...
1个月前
Windows Netlogon远程代码执行漏洞CVE-2020-1472复现指南
2020年8月11日,微软发布了CVE-2020-1472,也称为Netlogon特权提升漏洞的修复公告。该漏洞影响了Netlogon远程协议(MS-NRPC),允许攻击者在与域控制器建立易受攻击的Netlogon安全通道时提升特...
1个月前
简单测评一次 log4j 漏洞:优化你的安全测试体验
在去年log4j漏洞刚爆发的时候,很多平台都存在漏洞,当时也在第一时间在有授权的情况下对某论坛进行了渗透测试,结果发现存在漏洞,报告之后,漏洞也被很快修复。 本次对该渗透过程进行一个简单...
1个月前
2023年网络安全漏洞的主要原因有哪些?
网络安全漏洞已经并将继续成为企业面临的主要问题。因此,对于企业领导者来说,了解这些违规行为的原因至关重要,这样他们才能更好地保护他们的数据。在这篇博文中,我们将概述 2023 年比较普遍...
10个月前
深入探讨区块链底层系统漏洞:双生树漏洞
越是面对久经考验的安全机制,实现时越应谨慎小心,因为系统往往十分依赖它们。 经过十余年发展,区块链逐渐得到了世界的关注,引发了一波又一波的区块链热潮,有人视之为信仰,有人预言其为第...
1个月前
