行云海CMS SQL注入漏洞复现
行云海cms中ThinkPHP在处理order by排序时可利用key构造SQL语句进行注入,LtController.class.php中发现传入了orderby未进行过滤导致sql注入。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在
Gartner发布降低软件供应链安全风险指南
Gartner发布降低软件供应链安全风险指南:保障软件供应链安全的八大关键举措软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。主要发现尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理
漏洞验证的流程与规范
漏洞名称 ·存在漏洞的URL ·扫描报告中的加固方案。·漏洞评级 证明过程步骤截图
【BUUCTF Web】WriteUp超详细
buutctf web题目题解, 升大三的暑假自己刷来提高能力的,是自己边做边写,暑假期间只要没事情,每天都会写一些题目,最迟晚上更新
亿某通电子文档安全管理系统任意文件上传漏洞 CNVD-2023-59471
任意文件上传漏洞 CNVD-2023-59471
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
云安全笔记-Docker daemon api 未授权访问漏洞复现及利用
该未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。
Gartner发布2024年网络安全预测一:人工智能与网络安全将颠覆转化为机遇
Gartner 预测人工智能将以积极的方式持久地破坏网络安全,但也会造成许多短期的幻灭。安全和风险管理领导者需要接受 2023 年只是生成式 AI 的开始,并为其演变做好准备。
【1day】复现I Doc View系统upload接口任意文件读取漏洞
IDocV是一家跨国在线文档预览服务公司,为用户提供文档预览的功能。该公司提供第三方API,使开发者能够将其文档预览服务集成到自己的应用程序中。I Doc View系统upload接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache
DVWA(Web 渗透的靶机环境)+csrf漏洞练习
用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、Brute Force(暴力(破解))、2、Command Injection(命令行注入)、3、CSRF
sqlmap常用参数和原理
其原理是通过构造恶意的SQL查询语句,利用应用程序的漏洞来执行SQL注入攻击。具体一点就是,SQLmap首先分析目标网站的结构和参数,尝试检测是否存在SQL注入漏洞。如果存在漏洞,它将尝试利用不同的技术(如布尔盲注、时间盲注、联合查询注入等)来获取数据或者直接对数据库进行修改。
Web应用安全—信息泄露
Web应用安全—信息泄露
亿赛通电子文档安全管理系统 SQL注入漏洞复现
由于亿赛通电子文档安全管理系统/update.jsp处的ids参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
vulnhub——Noob:1靶机
本次靶机比较简单,没有什么很绕的思路主要就是工具利用——steghide和base64解码和一个新的提权方式——nano提权
CSRF安全漏洞修复
CSRF安全漏洞修复
IARPA首次利用网络心理学赋能网络防御重塑安全
第一阶段的研究和开发还必须包括IARPA选择的人类常见的两个认知漏洞,即损失厌恶(人们倾向于避免损失,而不是获得同等的收益)和代表性偏差(一种倾向是过分强调证据的代表性,而忽视证据发生的频率),以及至少3个额外的认知漏洞。此外,大多数现有的传统防御措施都专注于阻止可疑的网络行为的发生,很少有人主动与
【网络安全】网络防护之旅 - 点燃网络安全战场的数字签名烟火
数字签名,犹如一场璀璨的烟火,在网络安全的战场上绽放耀眼光芒。这项技术通过非对称加密算法,以私钥签名、公钥验证的方式,确保了数据的完整性和信息的真实性。本文深入探讨了数字签名的妙用,如何在网络安全的阵地上引发一场技术的盛宴。首先,我们揭示了数字签名的基本原理。这项黑科技采用了RSA等非对称加密算法,
【网络安全】网络防护之旅 - 非对称密钥体制的解密挑战
在信息安全的领域中,非对称密钥体制早已成为数字加密的核心,为保障通信的保密性和真实性提供了坚实保障。然而,随着技术的不断发展,破解非对称密钥的挑战也日益严峻。解密非对称密钥体制的挑战是一场旷日持久的战斗,涉及到数学、计算机科学和密码学等多个领域。该挑战的核心在于寻找一种有效的方法,能够在合理的时间内
网络安全扫描
网络安全扫描
