一、漏洞描述 ThinkPHP是一个开源免费的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 近日,被爆出存在ThinkPHP远程代码执行漏洞(QV...
一年后,那个残酷的 Log4j 漏洞仍然潜伏
©网络研究院一年前,随着俄罗斯在其与乌克兰的边境集结军队以及Covid-19 Omicron 变种开始在全球范围内激增,Apache 软件基金会披露了一个漏洞,在全球科技行业掀起了一阵狂热。该错误称为...
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
©网络研究院安全研究人员开发了一种通用的 SQL 注入技术,可以绕过多个 Web 应用程序防火墙 (WAF)。问题的核心是 WAF 供应商未能在 SQL 语句中添加对 JSON 的支持,从而使潜在的攻...
有风控&无风控App对抗深入浅出
看雪论坛作者ID:珍惜Any一前言:随着移动互联网的发展,App的防护也逐渐升级,从最早的App端上防护慢慢的到服务端做策略进行对抗,中间衍生很多App防护的方式,比如加固,唯一ID服务,数据分析服务...
大量中文网站被黑,嵌入世界杯相关关键词用于黑帽SEO
关键词黑帽SEO在黑帽 SEO 中,经常会出现的是被黑网站的 </code>标签被修改为中文关键词,使搜索引擎的检索结果中明显可见。但如果使用浏览器打开时,则会显示原始未修改的标...
思科爆出严重漏洞,更新补丁明年一月才能发布!
The Hacker News 网站披露,近日思科发布了新的安全公告,指出 IP 电话(网络电话) 7800 和 8800 系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒...
【渗透测试实用手册】 SQL 注入漏洞
【渗透测试实用手册】SQL注入漏洞漏洞名称SQL注入漏洞漏洞地址漏洞等级高危漏洞描述SQL 注入漏洞是指攻击者通过把恶意的 SQL 语句插入到网站的输入参数中,来绕过网站的安全措施,获取敏感信息或控制...
什么是身份安全云?
纵观计算机的网络攻击威胁发展历史,从最早的网络威胁检测到如今的应用威胁检测,攻击暴露面与攻击技术不断变化,身份威胁检测应需而生,它可以从多身份的视野更好的发现和处置威胁攻击。而身份安全云是一种把身份认...
xss研究笔记-从174篇writeup中得出的结论
xss研究笔记-从174篇writeup中得出的结论前言这篇文章是一个笔记,作为一个记录吧,方便后面复习.本文主要大纲如下:最常见的 XSS 类型有哪些受到XSS攻击的原因哪些业务场景可以发现XSS(...
打印机可能是间谍? 7 种方法防住它被策反
近期,美darkreading网站发布了名为《锁住企业打印机的 7 种方法》的文章(作者史蒂夫·祖里尔)。现在此对该文章作摘译如下,以供读者参考。继 PrintNightmare 事件后,打印机安全成...
Netlogon(cve2020-1472)接管域控
漏洞概述2020年8月11号,微软修复了Netlogon 特权提升漏洞,当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在...
钓鱼页面之无视浏览器URL栏
技术分享网络安全形势日趋严峻,层出不穷的网络钓鱼攻击可以托管各种恶意软件和勒索软件攻击,更糟糕的是这些攻击正在呈现持续上升的趋势。众多提及如何防范钓鱼网站的文章都会建议用户检查URL地址栏,确认是否对...
261