id - 第 7 | CN-SEC 中文网

因泄露用户数据，韩国互联网巨头Kakao被罚151亿韩元

2024年5月23日，韩国个人信息保护委员会(PIPC)宣布，KakaoTalk因漏洞导致约6.5万用户个人资料泄露，决定对Kakao公司处以151亿韩元(约8018.1万元人民币)罚款，这也是韩国公...

05月26日安全新闻122 views评论

阅读全文

安全文章

记一次985证书站Oracle注入绕WAF

原文链接：奇安信攻防社区 https://forum.butian.net/share/2996 本文记录了我第一次Oracle注入并绕过WAF的经历，希望大家多多支持。 0x01 前言看到某985...

05月25日22 views评论

阅读全文

安全新闻

可绕过身份验证，GitHub企业服务器曝满分漏洞，附PoC

近日，安全研究人员披露了GitHub企业服务器（GHES）的关键漏洞（CVE-2024-4985，cvss得分：10.0），该漏洞允许未经授权的攻击者，在不需要预先认证的情况下访问GHES实例。漏洞影...

05月22日27 views评论

阅读全文

未分类

浅聊CVE-2024-22120：一个鸡肋的Zabbix SQL注入漏洞

一、漏洞环境搭建 1.1 下载vmware镜像并设置直接懒人一键搭建： https://cdn.zabbix.com/zabbix/appliances/stable/6.0/6.0.20/zabb...

05月21日207 views评论

阅读全文

安全文章

CVE-2024-22120 | Zabbix服务器sql注入漏洞

影响描述 CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口（CLI）的特性，其中CLI使用args4j库解析命令行参数。arg...

05月21日59 views评论

阅读全文

安全漏洞

Gradio component server 任意文件读取(CVE-2024-1561)

0x00.产品介绍 Gradio是一个开源的Python库，用于创建机器学习模型的交互式界面。它使得展示和测试模型变得简单快捷，无需深入了解复杂的前端技术。广泛应用于数据科学、教育、研究和软件开发领域...

05月19日71 views评论

阅读全文

一个高危的xss

正文正常情况下在正常的GitLab操作中，使用GitLab的API导入GitHub上的项目通常涉及以下请求： curl -kv "https://gitlab.com/api/v4/import/...

05月19日安全文章11 views评论

阅读全文

ThinkPHP 5.1中的链式查询

一、基本查询考虑一个名为User的模型，我们将使用链式查询从数据库中查询用户记录。 // 导入模型类use appcommonmodelUser;// 创建模型实例$userModel = new U...

05月17日代码审计18 views评论

阅读全文

绕过Facebook CSRF防护机制实现账户劫持

今天分享的这个漏洞是Facebook的CSRF防护机制绕过漏洞，攻击者利用这个漏洞可以发送带有CSRF token的请求至任意Facebook产品服务端用户，实现账户劫持。某些场景下，攻击者可能会构造...

05月16日安全文章29 views评论

阅读全文

安全工具

钉ding/企业V信API-T00L利用工具

工具简介针对互联网各大API泄露的利用工具，包含钉钉、企业微信、飞书等，目前界面长这样，布局拉胯，能用就行。特别鸣谢chatgpt，代码好帮手。钉钉利用 1、肯定你得有ak、as，填进去获取to...

05月15日19 views评论

阅读全文

安全漏洞

亿赛通电子文档安全管理系统SQL注入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述亿赛通电子文档安全管理系统以数据资产防泄密为核心，涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块，实现对用户电脑终端、移动办公...

05月15日141 views评论

阅读全文

安全工具

如何使用AzurEnum快速枚举Microsoft Entra ID（Azure AD）

关于AzurEnum AzurEnum是一款针对Azure的安全工具，在该工具的帮助下，广大研究人员可以轻松快速地枚举Microsoft Entra ID（Azure AD）。该工具基于纯Pytho...

05月14日11 views评论

阅读全文

在线咨询

微信