-
如何發(fā)現(xiàn)Google云平臺漏洞
API和其中的內(nèi)置功能;免費使用一些收費的Google API功能���;訪問那些使用谷歌云端服務來進行開發(fā)的私有API�;訪問一些谷歌自身未向公眾開放的API隱藏功能�;繞過一些特殊限制條件;在該漏洞基礎上�,對其它潛在漏洞形成威脅利用���;對關鍵API的禁用導致的重要服務中斷(如Cloud SDK無法訪問項目,Android的
作者: 焦小文
發(fā)表時間:
2019-01-30 10:20:23
11023
0
-
OPTIONS對象
OPTIONS對象 功能介紹 請參見章節(jié) OPTIONS桶�����。 與OPTIONS桶的區(qū)別 OPTIONS對象需在URL中指定對象名���;OPTIONS桶提交的URL為桶域名�����,無需指定對象名��。兩者的請求行分別為:
-
目標URL存在跨站漏洞
URL存在跨站漏洞
??漏洞復現(xiàn)??漏洞描述??解決方法??對于開發(fā)??對于安全操作??對于質(zhì)量保證
??漏洞復現(xiàn)
記錄學習中遇到的問題
該頁面存在反射型XSS
payload
cit
作者: 新網(wǎng)工李白
發(fā)表時間:
2021-09-09 16:02:09
2340
0
-
【漏洞通告】 Windows win32k本地提權(quán)漏洞 CVE-2021-38639
系統(tǒng)的最重要的內(nèi)核模塊之一���。2�、漏洞描述 監(jiān)測到一則win32k組件存在本地權(quán)限提升漏洞的信息,漏洞編號:CVE-2021-38639���,漏洞危害:高危�。 該漏洞是由于win32k組件中存在UAF導致的任意地址寫漏洞�,攻擊者可利用該漏洞在獲得低權(quán)限的情況下���,構(gòu)造惡意數(shù)據(jù)
作者: 獵心者
發(fā)表時間:
2021-09-16 11:36:32
3498
1
-
【W(wǎng)EB安全】之文件上傳漏洞
文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的,如果文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型�����,攻擊者可通過Web訪問的目錄上傳任意文件�,包括網(wǎng)站后門文件(webshell),進而遠程控制網(wǎng)站服務器����。因此,在開發(fā)網(wǎng)站及應用程序過程中���,需嚴格限制
作者: HZDX
發(fā)表時間:
2022-05-05 01:58:39.0
362
0
-
Web應用漏洞的防御實現(xiàn)
的安全問題�����。3)使用網(wǎng)絡防攻擊設備前兩種為事前預防方式���,是比較理想化的情況。然而在現(xiàn)實中�����,Web應用系統(tǒng)的漏洞還是不可避免的存在:部分Web網(wǎng)站已經(jīng)存在大量的安全漏洞,而Web開發(fā)者和網(wǎng)站管理員并沒有意識到或發(fā)現(xiàn)這些安全漏洞����。由于Web應用是采用HTTP協(xié)議,普通的防火墻設備無法
作者: shd
發(fā)表時間:
2021-04-30 07:17:42.0
1953
4
-
OpenSSL相關漏洞
目錄
心臟出血漏洞(CVE-2014-0160)
OpenSSL CCS注入漏洞(CVE-2014-0224)
OpenSSL FREAK Attack漏洞(CVE-2015-0204)
作者: 謝公子
發(fā)表時間:
2021-11-18 16:20:56
315
0
-
漏洞知識庫
遠程溢出漏洞 30. Linux Bash遠程可執(zhí)行漏洞(CVE-2014-6271)修復方法 31. 用XSScrapy檢測XSS漏洞 32. fengcms任意文件下載漏洞 33. ECMall – SQL二次注入漏洞 34.
作者: lxw1844912514
發(fā)表時間:
2022-03-26 19:17:18
491
0
-
XSS漏洞原理/方式/防御
危害
比如通過cookie獲取管理員權(quán)限 ; 網(wǎng)頁掛馬記錄鍵盤輸入,獲取隱私信息
觸發(fā)點
XSS漏洞常發(fā)生在評論,留言,以及輸入框等功能
方式
XSS攻擊可分為反射型 , 存儲型 和 DOM型
作者: 士別三日wyx
發(fā)表時間:
2021-12-22 16:35:11
679
0
-
漏洞的基本分類
按照漏洞的形成原因��,漏洞大體上可以分為程序邏輯結(jié)構(gòu)漏洞���、程序設計錯誤漏洞�����、開放式協(xié)議造成的漏洞和人為因素造成的漏洞���。按照漏洞被人掌握的情況,漏洞又可以分為已知漏洞�����、未知漏洞和0day等幾種類型�����。程序邏輯結(jié)構(gòu)漏洞這種類型的漏洞有可能是編程人員在編寫程序時���,因為程序的邏輯設計不合理或
作者: shd
發(fā)表時間:
2021-04-28 09:41:26.0
1745
2
-
XXE漏洞利用
docker搜索xxe相關鏡像包����,然后pull下來��,我這里pull的是:rrodrigo/xxelab 鏡像包��。
啟動docker環(huán)境�,映射到VPS的32776端口
訪問
輸入注冊數(shù)據(jù),抓包重放����。發(fā)現(xiàn)提交數(shù)據(jù)包采用 xml 格式傳遞,且郵箱有返回��。
這里我們引用外部DTD實體��,并且將email的值修改為引用外部實體的值
作者: 謝公子
發(fā)表時間:
2021-11-18 16:04:06
652
0
-
未授權(quán)訪問漏洞總結(jié)
目錄
一�、MongoDB 未授權(quán)訪問漏洞
二、Redis 未授權(quán)訪問漏洞
三��、Memcached 未授權(quán)訪問漏洞CVE-2013-7239
作者: 謝公子
發(fā)表時間:
2021-11-18 15:31:17
309
0
-
【風險通告】WebLogic XXE漏洞
Server存在 XXE漏洞����。該漏洞影響廣泛且危害較大��,官方暫未發(fā)布修復補丁���,建議受影響的用戶盡快采取暫緩措施,避免遭受惡意攻擊��。風險等級高危漏洞描述WebLogic Server存在XXE漏洞�,攻擊者可以在未授權(quán)情況下對目標系統(tǒng)發(fā)起XML外部實體注入攻擊。成功觸發(fā)該漏洞需要目標開啟T3
作者: 獵心者
發(fā)表時間:
2021-01-04 12:07:21
924
1
-
【漏洞通告】Linux Kernel TIPC遠程代碼執(zhí)行漏洞 CVE-2021-43267
漏洞名稱 : Linux Kernel TIPC遠程代碼執(zhí)行漏洞組件名稱 : Linux Kernel 影響范圍 : 5.10-rc1漏洞類型 : 遠程代碼執(zhí)行利用條件 :1����、用戶認證:不需要用戶認證2、觸發(fā)方式:遠程綜合評價 : <綜合評定利用難度>:未知��。<綜合評定威脅等級>
作者: 獵心者
發(fā)表時間:
2021-11-07 12:27:46.0
2503
0
-
Web暴力破解漏洞挖掘
通過web暴力破解漏洞挖掘理論學習之后完成實踐操作 通過web暴力破解漏洞挖掘掌握漏洞的產(chǎn)生原理和攻擊方式 了解web暴力破解漏洞的原理�����,通過實踐提升學員web網(wǎng)站安全的能力 暴力破解漏洞原理 漏洞概述 典型暴力破解漏洞 暴力破解漏洞實踐 理解web暴力破解漏洞產(chǎn)生的原理 了解漏洞的主要概念和分類
-
漏洞風險預警通知集合
服務器上執(zhí)行任意代碼�。當前該漏洞評分為CVSS 10.0,漏洞編號為CVE-2021-44228�����。 【技術原因】HWPSIRT-2021-94301:Apache Log4j2 某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請求�����,觸發(fā)遠程代碼執(zhí)行漏洞【措施和方案】待support
作者: This is WeAutomate
發(fā)表時間:
2021-12-24 04:05:41
1433
0
-
PHP代碼審計-漏洞實戰(zhàn)之代碼執(zhí)行漏洞
/config.php
漏洞實戰(zhàn)之SQL注入漏洞
SQL注入漏洞
在處理刪除留言時�����,文件中刪除留言未驗證id值直接帶入數(shù)據(jù)庫中�,導致
SQL注入漏洞
/admin/admin_book.php
漏洞實戰(zhàn)之存儲型XSS漏洞
存儲型xss
在留言內(nèi)容中���,將數(shù)組和數(shù)據(jù)分別進行處理�,輸入
作者: 億人安全
發(fā)表時間:
2023-05-29 22:46:34
0
0
-
【漏洞預警】VMware 多個高危漏洞(CVE-2021-21972等)
vCenter Server SSRF漏洞 中��,攻擊者可通過443端口發(fā)送惡意POST請求�����,發(fā)起內(nèi)網(wǎng)掃描����,造成SSRF漏洞。VMware 官方已于2020年12月發(fā)布相關安全更新補丁���,提醒 VMware 用戶盡快采取安全措施阻止漏洞攻擊�。漏洞評級:CVE-2021-21972 VMware
作者: 獵心者
發(fā)表時間:
2021-02-24 11:35:01
1456
1
-
【漏洞通告】Apache Dubbo多個高危漏洞(CVE-2021-25641等)
Apache Dubbo YAML 反序列化漏洞 高危 CVE-2021-30181 Apache Dubbo Nashorn 腳本遠程代碼執(zhí)行漏洞 高危漏洞細節(jié)漏洞PoC漏洞EXP在野利用公開公開公開未知影響版本:Apache Dubbo < 2.7.10Apache Dubbo
作者: 獵心者
發(fā)表時間:
2021-06-24 06:47:24
2291
0
-
跨站腳本漏洞
跨站腳本漏洞同步滾動:開漏洞描述黑客在input或者url上輸入非法字符,如<ScRiPt>confirm(4890)<cRiPt>����,則在網(wǎng)頁上彈出確認窗口,相關的腳本被非法執(zhí)行了�。1603630831948056912.png修復方法給程序做一個攔截器,攔截請求�����,轉(zhuǎn)換一些特殊符
作者: Nick Qiu
發(fā)表時間:
2020-10-25 21:00:42
2901
0
