01 — 漏洞名称 Parsec Automation TrackSYS 敏感数据泄露漏洞 02 — 漏洞影响 Parsec Automation TrackSYS 11.x.x 03 — 漏洞描述 ...
宏景HCM-LoadOtherTreeServlet SQL注入 poc
POC(Yaml&Python) 话不多说先上POC(Yam-poc由yakit或ProjectDiscovery Cloud Platform生成,Python-poc脚本由c...
mallox勒索软件溯源反制思路
概述近期又遇到了几起windows下的mallox勒索的事件,攻击者都是通过MS-SQL攻击进来的,各位注意一下不要再把不必要的MS-SQL开放在公网上了。同时有国外公司在这几天捕获到mallox勒索...
CVE-2024-38513 (CVSS 9.8):流行的Go Web 框架 Fiber 存在严重的安全漏洞
Fiber 是 Go 编程语言中广泛使用的 Web 框架,现已发现一个高危漏洞 ( CVE-2024-38513 )。此漏洞允许攻击者劫持用户会话,可能导致未经授权的访问和数据泄露。 该漏洞存在于 F...
AtlasVPN Linux 客户端真实IP泄露漏洞
来自:https://seclists.org/fulldisclosure/2023/Sep/0 ,还是一个未被官方修复和回应的0day漏洞。 此漏洞的利用是通过在任意网站上部署执行exp代码后,使...
Love-Yi情侣网站3.0存在SQL注入漏洞
漏洞简介 Love-Yi情侣网站3.0是一个基于php框架和爱情主题的表白网站。经个人修改和设计更加美观好看,适合哄女朋友开心。 资产详情 Fofa:"img/like.svg" &&...
安全人员须知的TOP20漏洞编码安全规范
文章来源:系统安全运维 1.SQL注入 Ø 风险描述 SQL注入主要发生在应用程序数据库层面上。程序员在设计程序的时候,没有对用户的输入进行校验,含有特殊字符语句会被数据库误认为是正常的SQL指令而运...
信息收集之google hacking
Google Hacking的含义原指利用Google Google搜索引擎搜索信息来进行入侵的技术和行为;现指利用各种搜索引擎搜索信息来进行入侵的技术和行为。Google Hacking并不是单指g...
奇技淫巧-不一样的越权漏洞
edu案例 湘南第一深情,公众号:湘安无事教育园src第一天之js逆向小技巧 src案例 湘南第一深情,公众号:湘安无事【很深情的奇技淫巧】捡个src中危漏洞 edu上分案例2 湘安无事-梦中,公众号...
信呼OA后台GETSHELL分析
信呼OA后台GETSHELL 测试版本:v2.6.3(最新版) 前两天某天收洞,说奖金挺高,想着挖一挖赚点外快,审核说无法复现不收,不收就不收吧。 那我就提交cnvd,cnvd嫌我不写分析步骤不收驳回...
实战案例(2):OWASP Top 10 2021 失效的访问控制 1-10
目录 案例一:越权重置密码 案例二:越权查看收货地址 案例三:越权查看公积金明细 案例四:越权查看个人简历 案例五:未授权注册帐号 案例六:未授权访问后台地址 案例七:未授权导出帐号密码 案例八:未授...
业务安全中的风控:从终端数据采集到引擎决策
写在前面 本文不会特别干,毕竟风控可有太多的领域了,无论是内容、交易、营销等场景,都不可避免地要设计好风控才能上。本文主要是说说在业务安全中风控体系的构成,包括事前、事中、事后所需要的一些技术要素,权...
66