最近，用友官方迅速响应并发布了一则漏洞情报，及时提供了补丁，并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中，ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...

泛微 Ecology OA 是一款综合性协同管理平台，涵盖企业门户、文档管理、工作流程、人力资源、客户关系、项目、财务、资产、供应链等功能。 由于泛微 Ecology OA 系统未正确处理用户输入数据过滤...

近期，长亭科技监测到 Nacos 发布新版本修复了一个远程代码执行漏洞。 经过漏洞分析后，发现该系统应用较为广泛，且漏洞影响范围较大。应急团队根据该漏洞的原理，编写了 X-POC 远程检测工具和...

一旦受害者的系统遭到攻击者入侵，攻击者就可以利用 Metasploit 框架中提供的 478 个后期开发模块之一来收集有关受害者的信息或证据。Metasploit 框架不断更新，使得后期渗透更加丰富多彩。通过...

GraphQL 漏洞通常源于实现和设计缺陷。其中，内省功能可能保持活动状态，使攻击者能够查询 API 以收集有关其架构的信息。 GraphQL 攻击通常采用恶意请求的形式，使攻击者能够获取数据或执行未经...

SQL注入是一种常见的网络安全漏洞，攻击者利用不当处理用户输入的代码，通过构造恶意的SQL查询语句，使得数据库执行非预期的操作，从而窃取、修改或删除数据，甚至获取系统权限。在CTF竞赛中，S...

网络安全漏洞已经并将继续成为企业面临的主要问题。因此，对于企业领导者来说，了解这些违规行为的原因至关重要，这样他们才能更好地保护他们的数据。在这篇博文中，我们将概述 2023 年比较普遍...

当我们审查Zabbix的源代码时，我们发现了一个严重的安全漏洞，它位于Zabbix的用户界面(UI)的身份验证部分。这个漏洞是一种跨站请求伪造（CSRF）漏洞，它允许未经身份验证的攻击者接管Zabbix管理...

前言 支付漏洞是一个攻击者可以通过利用漏洞，窃取用户支付信息或篡改订单，从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因...

越是面对久经考验的安全机制，实现时越应谨慎小心，因为系统往往十分依赖它们。 经过十余年发展，区块链逐渐得到了世界的关注，引发了一波又一波的区块链热潮，有人视之为信仰，有人预言其为第...

漏洞描述： Spring Cloud Gateway命令执行（CVE-2022-22947）Spring Cloud Gateway存在远程代码执行漏洞，攻击者可通过恶意创建允许在远程主机上执行任意远程请求的Actuator端点进行攻击。漏洞...

0x01 漏洞描述: SAML SSO身份验证绕过漏洞 安全断言标记语言（SAML）是最为广泛采用的单点登录（SSO）标准之一。通过XML实现，SAML允许身份提供者（IdP，即能对用户进行身份验证的实体）向服务...

漏洞描述： Grafana存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 危害等级： 「高危」 FOFA 查询： app='Grafana' 影响范围： Grafana 8.0.0 ...

前言 真实案例，文中所写漏洞现已经被修复，厚码分享也是安全起见，请各位大佬见谅哈！ 案例一：奇怪的找回密码方式 某次漏洞挖掘的过程中，遇到某单位的登录框，按以往的流程测试了一下发现并...