01 HAPPY NEW YEAR 漏洞描述 用友U8+CRM客户关系管理软件适用于中大型企业,用友U8+CRM是以用友TurboCRM7.2SP2为功能蓝本,在U8产品基...
LAPSUS$团伙成员刑事判决
Two British teens part of the LAPSUS$ cyber crime and extortion gang have been sentenced for their r...
如何使用m4ngl3m3基于字符串列表生成常见密码模式
关于m4ngl3m3 m4ngl3m3是一款功能强大的常见密码模式生成工具,该工具可以帮助广大研究人员使用字符串列表来生成常见的密码模式。 工具安装&运行&nb...
SeaCMS v6.54和v6.55前台Getshell 代码执行漏洞(每日一洞)
前言 这两个版本修复上次的v6.45版本中的order传值后执行的漏洞,但是在新的版本里面利用parseIf函数的功能还可以继续利用。 因为上一篇也已经过了一遍search.php的执行过程,这篇就不...
Java安全之Velocity模板注入漏洞
在前面两篇文章已经提到过FreeMarker,Thymeleaf 模板注入了内容,这篇是最后一篇。什么是 VelocityVelocity 模板是一种用于快速开发 Web 应用程序的模板引擎。它允许开...
PHP安全编码
验证过滤用户的输入 即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符: ! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - ...
The More You Know, The More You Know You Don’t Know: A Year in Review of 0-days Used In-the-Wild in 2021(译文)
这是我们第三次对在野利用的0-day漏洞进行年度回顾[2020年,2019年]。每年,我们都对所有已检测到并公之于众的在野0-day漏洞进行回顾,并总结我们认为的趋势和收获。这份报告的宗旨,并非详细说...
First Wave of CSL Enforcement since the last half year
点击上方蓝色“赛博星人”关注我们Inbrief Sincethe Cyber Security Law (“CSL”) took effect on 1 June 2017,theregulators...