根据新的僵尸网络和勒索软件,恶意软件创建者越来越多地尝试自动利用新漏洞(例如ProxyLogon或其他)。同时,Microsoft继续尝试修复/检测/以某种方式帮助易受攻击的邮件Exchange服务器...
【漏洞通告】Apache Druid 远程代码执行漏洞(CVE-2021-26919)
漏洞名称 : Apache Druid 远程代码执行漏洞(CVE-2021-26919)组件名称 : Apache Druid影响范围 : Apache Dru...
自主搭建的三层网络域渗透靶场打靶记录
前言假期马上结束了,闲暇之时我自己尝试着搭建了一个内网渗透的靶场。靶场是根据比较新的漏洞进行搭建的,质量自以为还可以。目前此靶场已在vulnstack开源,下载链接(点击阅读原文),文中若有不当之处还...
JD-FreeFuck 后台命令执行漏洞
一:漏洞描述🐑JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器项目地址:https://github.com/meselson/JD-F...
每日攻防资讯简报[Mar.29th]
0x00漏洞1.被广泛使用的npm包“netmask”的SSRF、远程文件包含、本地文件包含等多个漏洞https://sick.codes/universal-netmask-npm-package-...
CNVD漏洞周报2021年第12期
2021年3月22日-2021年3月28日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞719个,其中高危漏洞166...
【代码审计】 beescms 任意文件上传漏洞分析
一、漏洞描述:上传文件的代码过滤不严,仅仅对content-type进行验证,所以造成了任意文件上传漏洞二、漏洞分析过程:定位到上传代码:/admin/upload.php这里获取表单提交的内容,然后...
看一名Java开发人员以红队思维五分钟审计一套代码(续)
转发自https://www.freebuf.com/articles/web/253139.html前言上篇文章的发布引起了很多读者的浏览,有很多读者也催更希望读到续集,作者也收获到读者的鼓励,说明...
FinDOM-XSS:一款针对DOM型XSS漏洞的快速扫描工具
本文始发于微信公众号():FinDOM-XSS:一款针对DOM型XSS漏洞的快速扫描工具
【实战篇】记一次CVE-2020-0688的漏洞利用
点击上方“公众号” 可以订阅哦!Hello,各位小伙伴大家好~这里是你们的小编Monster~今天来记录一次Outlook漏洞cve-2020-0688的利用。虽然最后没拿到shell,但是还是来看看...
Web服务器常见8种安全漏洞
Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本...
漏洞武器化评估小技巧
作为安全从业者,不管是做售前、渗透测试、安全分析师、或者作恶的攻击者、等 漏洞好像是一个绕不开的话题。结合自己的一点点小经验,然后准备分享漏洞武器化评估的文章。 用途:可放在自己安全产品线上...
1203