0x00 Preface[前言/简介]前段时间看到有文章分享docker逃逸,作为从小动手能力比嘴还强的我来说,遇到这种好玩的事情,岂能错过这一次的分享,...
web漏洞|XXE漏洞复现
docker搜索xxe相关镜像包,然后pull下来,我这里pull的是:rrodrigo/xxelab 镜像包。启动docker环境,映射到VPS的32776端口访问输入注册数据,抓包重放。发现提交数...
原创 | 针对路由器的最新在野漏洞利用,或影响数百万设备
作者 | 国家互联网应急中心 罗冰 010-82992195一、 概述CNCERT物联网威胁数据平台近期捕获到一种新的在野漏洞利用,开源情报显示该漏洞属于路由...
DNS漏洞使国家级间谍活动像注册域一样简单
一种涉及使用特定名称注册域的新域名系统 (DNS) 攻击方法可用于研究人员所描述的“国家级间谍活动”。Wiz首席技术官Ami Luttwak和Shir Tamari于上周在拉斯维加斯举行的Black ...
通报:腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散,可使用防火墙阻截
一、概述腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机数已达数千台。先后...
【风险提示】天融信关于WebLogic多个高危漏洞风险提示
0x00背景介绍7月21日,天融信阿尔法实验室监测到Oracle官方发布了2021年7月关键补丁更新,此次更新修复漏洞共342个,其中包括严重漏洞50个、高危45个、中危107个、低危140个。0x0...
关于大火的Print Spooler漏洞的深度分析
本篇文章几天之前就整理好了,一直没有时间整理,往平台上发。 前言 前一段时间,Windows Print Spooler的CVE-2021-1675和CVE-2021-34527两个洞被炒的沸沸扬扬。...
ModSecurity 自建规则之路
0x01 简介 ModSecurity是一个开源的、跨平台的Web应用防火墙,它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。 ModSecurity有以下作用: SQL...
Yapi远程命令执行复现&waf bypass
YApi是高效 、易用 、功能强大 的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人...
【漏洞预警】Hadoop Yarn RPC未授权访问漏洞
01 时间轴· 2021/10/29阿里云安全团队在野捕获Hadoop Yarn RPC未授权访问漏洞· 2021/10/29阿里云云防火墙IPS更新防护策略,支持该...
Android APP漏洞之战——权限安全和安全配置漏洞详解
本文为看雪论坛精华文章看雪论坛作者ID:随风而行aa一简介前几篇帖子我们将Android的四大组件中漏洞做了一个具体的介绍,本节我们将进一步介绍Android中的权限配置相关的漏洞以及Android安...
Hadoop Yarn RPC未授权访问漏洞通告
赶紧点击上方话题进行订阅吧!报告编号:B6-2021-111503报告来源:360CERT报告作者:360CERT更新日期:2021-11-151 漏洞简述2021年11月15日,360CE...
1202