麋鹿安全[ELK]参考:https://confluence.atlassian.com/conf85/database-setup-for-mysql-1283361000.html文章目录:0x0...
【ZERO day!!】某华车载监控平台漏洞
免责声明月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...
大华 DSS 数字监控系统 attachment_getAttList.action SQL 注入
导读 主要分享学习日常中的web渗透,内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己,为网络安全发展贡献自己的微薄之力! 0x00免责声明本次测试仅供学习使用...
【漏洞复现】大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
免责声明本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与...
javascript伪协议解析
前言首先来介绍一下这个伪协议,JavaScript伪协议最重要的,其实就是可以用来执行js的代码,哪些地方可以用呢,a标签的href里面,iframe标签的src里面,甚至form标签的action和...
谷歌修复代码测试工具Bazel 中的严重供应链漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌开源的软件开发工具 Bazel 中存在一个严重的供应链漏洞,可导致攻击者插入恶意代码。研究人员指出,该命令注入漏洞影响数百万个依赖于 Bazel ...
大华城市安防监控系统平台attachment_downloadByUrlAtt.action存在任意文件读取漏洞 附POC软件
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
谷歌 Bazel 面临命令注入漏洞威胁
关键词黑客勒索最近,安全研究人员在 Google 的开源项目之一,即 Bazel,中发现了一个潜在的供应链漏洞。这个漏洞涉及到 GitHub Actions 工作流程中的命令注入问题,可能导致恶意行为...
浙大恩特客户资源管理系统CrmBasicAction.entcrm接口存在任意文件上传漏洞 附POC软件
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
点击蓝字 原文始发于微信公众号(SecHub网络安全社区):EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
eduSRC那些事儿-3(命令执行类+越权逻辑类)
本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。命令执行类St2命令执行在电量查询手机管理平台,观察到.do或...
MSI武器化学习
您的转发就是我更新的动力。简介MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。MSI文件...
27