基础知识反射型XSS:恶意脚本来自当前HTTP请求。存储型XSS:恶意脚本来自网站的数据库。基于DOM的XSS:漏洞存在于客户端代码而不是服务器端代码中HTTP参数污染(HPP): HTTP参数污染会...
CNVD漏洞周报2021年第22期
2021年5月31日-2021年6月6日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞600个,其中高危漏洞158个...
Apache HTTP Server路径穿越漏洞 (CVE-2021-41773) 分析复现
漏洞概述 2021年10月5日,Apache官方发布了一批漏洞信息,其中Apache HTTP Server路径穿越漏洞CVE-2021-41773引起了我们的注意: CVE-2021-41773 h...
记一次CNVD通用漏洞审计
0x01 前言写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低权限用户成功进入后台,在后台寻找功能点通过抓包分析,定位到目标系统后台存在SQL注入,通过os shell拿下内...
GB∕T 30279-2020 信息安全技术 网络安全漏洞分类分级指南
《GB/T 30279-2020 网络安全漏洞分类分级指南》提供了网络安全漏洞的分类方式、分级指标,给出了分级方法的建议。适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞管理...
【通告更新】Apache Dubbo多个高危漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含Apache Dub...
【漏洞分析】Nginx DNS Resolver Off-by-One 堆写入漏洞 CVE-2021-23017
漏洞名称 : Nginx DNS Resolver Off-by-One 堆写入漏洞 CVE-2021-23017组件名称 : Nginx影响范围 ...
新漏洞可导致西门子 PLCs 遭远程攻击
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士工业网络安全公司 Claroty 的研究员发现一个严重漏洞,可遭远程未认证攻击者入侵西门子制造的某些可编程逻辑控制器 (PLCs)。...
漏洞复现 | 图创图书馆集群管理系统存在任意文件读取漏洞 CNVD-2021-34454
前言CNVD-2021-34454由团队师傅小小小月球挖掘申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!漏洞背景广州图创计算机软件开发有限公司是集产品研发、应用集成、客户服务...
云原生基础设施安全初探
文| Tencent Blade Team周炽金、leonwxqian、cradmin前言随着云计算平台的成熟和分布式框架的普及,应用上云已经是不可逆转的趋势。而新的技术形态会带来新的安全问...
CNCERT:关于VMware vCenter Server存在远程代码执行漏洞的安全公告
安全公告编号:CNTA-2021-00202021年5月26日,国家信息安全漏洞共享平台(CNVD)收录了VMware vCenter Server远程代码执行漏洞(CNVD-2021-37150,对...
Istio 的一个可远程利用的漏洞(CVE-2021-34824)风险通告
Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。1漏洞描述Istio 包含一个可远程利用的漏洞,使用Istio的k8s集群内的机器有可能越权访...
1202