写在前面:能否在日常工作中,参考CSF的内容呢?答案当然是可以,但具体如何和实际工作整合,我还没有想好。以前做咨询时,也曾经使用过CSF IPDRR 方法,但客户总体上接受度不大,或者说咨询是咨询,设...
推断性执行攻击 GhostRace 影响所有CPU和OS厂商
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士IBM和阿姆斯特丹自由大学 (VU Amsterdam) 的研究人员开发出一种新型攻击,它利用现代计算机处理器中的推断性执行机制绕过操作系统中的检查,...
黑客利用Aiohttp漏洞查找易受攻击的网络
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士勒索团伙 “ShadowSyndicate” 被指正在扫描易受CVE-2024-23334 影响的服务器。该漏洞是位于 Python 库 aiohtt...
使用Python写全网短剧搜索工具
代码: import tkinter as tk from tkinter import ttk from PIL import Image, ImageTk import requests impo...
WordPress存在远程命令执行漏洞
免责声明月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...
逻辑漏洞实战
0x01 前言逻辑漏洞自始至终一直是一个永恒的话题,逻辑漏洞是一种设计缺陷,通常表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误,也是目前大环境下比例比较高的漏洞,在以前挖逻辑也是i...
大华智慧园区综合管理平台clientServer存在SQL注入漏洞 附POC软件
1. 大华智慧园区综合管理平台简介 微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发 大华智慧园区综合管理平台 2.漏洞描述 大华智慧园区综合管理平台是一款综合管理...
干货 | 实战导向的内网渗透-目的拿到源码
前言本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。首先定位目标公司的资产,使用fofa检索:根据资产对应的指纹,使用一些扫描工具扫一扫:以及新近出来的exp...
攻防实战 | nacos到接管阿里云&百万数据泄露
前言在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直...
亿赛通CDGServer3/client接口存在任意文件读取漏洞
免责声明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!漏洞描述亿赛通CDGServe...
五眼机构曝光俄罗斯 APT29 云攻击策略
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的...
记一次某网站任意用户账号密码修改
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文首发在:先知社区https://xz.aliyun.com/t/14103网站存在注册、修改密...
18127