01漏洞描述美创安全实验室监测发现2个Apache Kylin 命令注入漏洞的信息,漏洞编号:CVE-2022-43396,CVE-2022-44621,漏洞等级:严重。Apache Kylin是一个...
【漏洞通告】Lenovo ThinkPad BIOS多个安全漏洞
0x00 漏洞概述1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。0x01 漏洞详情Lenov...
Synology VPN Plus Server越界写入漏洞(CVE-2022-43931)
0x00 漏洞概述CVE IDCVE-2022-43931发现时间2023-01-04类 型越界写入等 ...
【风险通告】2022年12月重点关注的漏洞
0x00 风险概述2022年12月,启明星辰安全应急响应中心监控到重点关注漏洞共计90+,漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等,这些漏洞涉及Linux、Apa...
Web缓存中毒-概念梳理
在本节中,将讨论什么是Web缓存中毒,以及哪些行为会导致Web缓存中毒的漏洞,还将看看利用这些漏洞的方法,并建议如何减少对这些漏洞的暴露。什么是Web缓存中毒?Web缓存中毒是一种比较高级的技术,攻击...
探寻SQL注入的历史价值内涵分析&其他框架存在的SQL注入漏洞&代码审计与分析[下]
前言我们接着上一篇还是写点什么吧,对于SQL注入,我们一般都是从两个方向取贴近取得成果,第一个就是相关框架存在SQL注入,第二个也就是占比最高的:CMS。这个相信大家深有体会,在CMS中挖掘出来的SQ...
保护软件供应链:开发人员实践指南(下)
2.3 验证第三方组件 开发人员通常使用应用程序编程接口(API)功能,将第三方商业软件组件作为他们现有的活动的一个方面。这些...
对某网站进行漏洞扫描及利用
网络攻防中的渗透技术在实际渗透过程中可以流程化,首先是信息收集,收集IP地址及其域名信息,对端口进行扫描,对目标站点进行漏洞扫描,如果扫描结果中有高危漏洞,则可...
Struts2 系列漏洞调试总结
0x01 前言 虽然目前用 Struts2 的人已经不多了,但是它总是时不时的掀起波澜,灌醉了我,作为很多入门 Java 安全的朋友第一个跟踪分析的框架及漏洞点,这次我也从零开始分析调试了 Strut...
2021 年终总结
序 又到了年末,是时候对 21 年进行一个总结。 这几天刚租完房子、搬完家,购置用品,收拾东西收拾了几天,总算是让这个小小的开间有了家的感觉,趁着新工作入职之前的两天闲暇,写一下 2021 年终总结。...
漏洞学习之PWN-绿城杯uaf_pwn 分析
10月11日~10月15日前期回顾漏洞免费实战部分-安卓应用层getLastPathSegment函数问题漏洞实战部分2-安卓应用ZipEntry对象问题实战一、信息收集 •RELRO:在L...
服务器端模板注入(SSTI)-攻击示例(三)
在本节中,将更仔细地研究一些典型的服务器端模板注入漏洞,并演示如何来利用它们。通过实践,可以潜在的发现并利用各种不同的服务器端模板注入漏洞。一旦发现了服务器端模板注入漏洞,并确定了正在使用的模板引擎,...
1203