0x00 漏洞简介InfluxDB是一款时序数据库,其使用JWT作为鉴权方式。在其1.7.6版本以前,默认设置JWT的认证密钥shared-secret为空字符串,导致攻击者可以伪造任意用户身份在In...
【工具分享】38个常见未授权漏洞检测工具
工具介绍 ❝ 集成了38个常用未授权漏洞,有两个版本,一个是带有GUI界面的,一个是命令行版本。支持批量检测,导出结果,命令行还支持多线程,未授权检测目前不包括默认密码检测。 FTP 未授权访问(21...
【工具推荐】DockerApi未授权漏洞一键利用工具,适合攻防演练内网梭哈。
0x01 免责声明disclaimer请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收...
【技术分享】Windows系统下如何修改Redis密码?
阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。2...
一款Burpsuite自动化检测越权 未授权漏洞插件
0x01 工具介绍 瞎越 (xia_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功...
漏洞预警 点企来 客服系统 token 存在硬编码未授权漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...
一次简单通用未授权漏洞挖掘
前言: 一次...简单...通用未授权访问漏洞挖掘 FoFa直接搜索的是:公司产品 随意选择了一个公司进行测试; 信息收集: 这次漏洞挖掘没怎么进行信息收集,暂时不过多介...
HTTPD-AC1.0服务未授权漏洞
No.1 前言 多款AC集中管理平台、智能AC管理系统、智能路由系统(HTTPD-AC1.0服务)均被发现存在严重的未授权访问安全漏洞。此漏洞允许攻击者未经授权地直接访问多个data文件...
货拉拉在逻辑漏洞自动化检测的实践
一、背景逻辑漏洞包含:未授权漏洞:未经授权的用户或攻击者可以绕过正常的身份验证、访问或执行未经授权的操作。垂直越权漏洞:允许用户或攻击者在系统或应用程序中获取比其授权权限更高的权限级别。水平越权漏洞:...
一篇文章搞懂Docker API未授权漏洞
声明:请勿利用本公众号文章内的相关技术、工具从事非法测试,如因此造成一切不良后果与文章作者及本公众号无关!和复现其他漏洞一样,习惯先确定漏洞的CVE编号,再查找一些资料,这样学的会更准确点,但奇怪的是...
WVP视频平台(国标28181)SQL注入漏洞
No.1 前言 6月份发了一个WVP视频平台SQL注入漏洞,该漏洞已经上报相关平台。WVP-PRO是一个基于GB/T 28181-2016标准实现的流媒体平台,它依赖于卓越的开源流媒体服务ZL...
WVP视频平台(国标28181)SQL注入漏洞
No.1 前言 6月份发了一个WVP视频平台SQL注入漏洞,该漏洞已经上报相关平台。WVP-PRO是一个基于GB/T 28181-2016标准实现的流媒体平台,它依赖于卓越的开源...