今天i春秋有幸邀请到一位挖洞经验丰富的白帽表哥,为大家分享关于敏感文件泄露漏洞及防御措施的知识点。知识点分享通过公开课的形式呈现给大家,共分为:版本管理软件造成的泄露、配置文件泄露、备份文件泄露、防御...
【漏洞预警】Gitlab 多处高危漏洞
2021年4月1日,阿里云应急响应中心监测到Gitlab官方发布安全更新,修复了多处高危漏洞。01漏洞描述Gitlab是一款基于Git 的完全集成的软件开发平台,且具有wiki以及在线编辑、issue...
JumpServer远程命令执行漏洞复现分析
漏洞描述JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发...
通达OA v11.9 WorkbenchController.php 后台SQL注入漏洞
一:漏洞描述🐑 通达OA v11.9 以下版本中由于某些参数过滤不完善导致后台存在SQL注入漏洞 二: 漏洞影响🐇 通达OA < v11.9 三: 漏洞复现🐋 https:...
Instagram应用代码执行漏洞详解(四)
在上一篇文章中,为读者介绍Mozjpeg内部的内存管理器以及相关堆布局等知识。在本文中,我们将综合上面的知识点,进一步探讨该漏洞的可利用性。 把所有的东西放到一起 现在,我们获得了一个受控的函数调用。...
VMware 修复可窃取管理员凭据的高危漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队VMware 发布安全更新,修复了 vRealize Operations 中的一个高危漏洞,它本可导致攻击者利用易受攻击的服务...
每周高级威胁情报解读(2020.11.12~11.19)
2020.11.12-2020.11.19攻击团伙情报“魔罗桫”组织以巴基斯坦空间科学委员会招聘为诱饵的攻击活动分析Lazarus组织使用供应链攻击针对政府和银行领域攻击行动或事件情报黑产团伙金指狗技...
三星 WLAN AP WEA453e路由器 远程命令执行漏洞
IPDB蓝队威胁共享帮助红蓝对抗项目,精准判断,已知红蓝对抗项目攻击情报资源池,无需登陆-添加认证进群,即可微信进群须知-获得途径需要出示红蓝对抗项目参与证明发给我方审核人员,通过后即可进...
漫谈-Weblogic-CVE-2020-2555
背景 2020年1月,互联网上爆出了weblogic反序列化远程命令执行漏洞(CVE-2020-2555),Oracle Fusion中间件Oracle Cohe...
邮件钓鱼平台搭建以及基础使用场景
这是 酒仙桥六号部队 的第 111 篇文章。全文共计5999个字,预计阅读时长16分钟。前言一个风和日丽的下午,和平常一样,审审漏洞,然后逛逛其他相关的安全论坛,翻看其他...
PoS终端的安全问题使消费者容易受骗
研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。这些问题已经向厂商进行了汇报,并且已经打上了补丁,该...
Apache Druid远程代码执行漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache ...
1203