作者: 多面魔方(北京)技术服务有限公司 作为专注网络安全托管和运营的服务商,与各迎战单位同战线共命运,提供交付可落地的网络安全防护行动方案,才能最大限度的保障和坚守这片阵地。 《HW备战28条》,用...
【漏洞风险通告】Apache Commons Text任意代码执行漏洞(CVE-2022-42889)
迪普安全研究院让网络更简单·智能·安全背景描述Apache Commons Text是一个专注于处理字符串的算法的开源项目,它包含一组用于在Java环境中使用的处理文本的函数与可重用组件。近日,迪普安...
一次不出网的渗透测试 ,太牛逼了
前言周末时间中午吃饱喝足后,闲着无聊上线玩了几把游戏,听着音乐,本想周末就这样悠闲的过的,怎么老输,开始键盘侠上线 ,没办法,人菜又瘾大。PS:本文仅用于技术讨论,严禁用于非法用途,违者后果自负,与本...
2021 OWASP TOP 10
文章前言2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动,我们从公开收集的数据中选定了8个类别,之后又从Top 10社区调查结果中选择了2个高级别的类别,组成了1...
开源(CMS)TYPO3解决(XSS)漏洞
久负盛名的开源内容管理系统(CMS)TYPO3的维护者已通过大量软件更新修复了跨站点脚本(XSS)漏洞。由于上游包 masterminds/html5中的解析问题,绕过了PHP包typo3/html-...
云横向移动:突破易受攻击的容器
本文为译文,原文地址:https://sysdig.com/blog/lateral-movement-cloud-containers/ 横向移动是云安...
研发团队修复JavaScript沙箱vm2漏洞CVE-2022-36067;Lockbit利用Exchange中漏洞安装恶意软件
每日头条1、研发团队修复JavaScript沙箱vm2的漏洞CVE-2022-36067 据10月11日报道, JavaScript沙箱vm...
【漏洞通告】Palo Alto Networks PAN-OS身份验证绕过漏洞(CVE-2022-0030)
0x00 漏洞概述CVE IDCVE-2022-0030发现时间2022-10-13类 型身份验证绕过等  ...
五种不寻常的身份验证绕过技术
身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞,也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法,保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...
研究人员绕过了微软更新的ProxyNotShell 漏洞修复指导方案
据其中几位花了几周时间研究漏洞的安全研究人员说,发现目前为这些漏洞(俗称 "ProxyNotShell")所提供的修复建议并不足以完全解决这些问题。网络安全公司Huntress的高级threatOps...
小程序session_key泄露漏洞
一、漏洞介绍为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考开放数据校验...
Edge浏览器-通过XSS获取高权限从而RCE
这是白帽子(twitter:@spoofyroot)在2019年发布的一篇文章,完整介绍了这位师傅在挖掘Edge浏览器漏洞的思路、利用、组合。其中第三个漏洞的利用链的构造过程很有借鉴意义 前言: Ed...
1203