admin 发表的所有文章 | CN-SEC 中文网

安全漏洞

漏洞预警 | GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401）

一、漏洞概述GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器,攻击者可构造恶意请求执行任意java代码,控制服务器。二、漏洞复现POC：new org.geotool...

07月10日24 views评论

阅读全文

安全文章

JS逆向调试之动态替换

“ 大部分情况下在对有js加密的网站进行渗透测试时，是需要对算法进行逆向分析Debug，获取和修改明文，再利用aotodecoder等插件实现数据包的明文接发。不过亦存在没办法直接模拟或者抽离加解密函...

07月10日98 views评论

阅读全文

网络攻防对抗下的漏洞治理探索与实践

文 | 广州大学网络空间安全学院/网络空间先进技术研究院鲁辉王乐孙彦斌苏申陈星池田志宏当前，网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障，切实维护网络空间...

07月10日安全新闻122 views评论

阅读全文

安全文章

针对前端加密爆破的方法及实战案例

本文由掌控安全学院 - qishi 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）一、概述现在基本上大部分web应用系统都在后台登录界面对密...

07月10日32 views评论

阅读全文

安全闲碎

CISO如何避免入狱？

如今，五花八门的网络安全法规频频出台，各国政府对网络攻击和数据泄露事件的处罚日趋严厉，越来越多的CISO们将开始考虑一个迫切的“安全问题”：如何避免自己成为替罪羊甚至锒铛入狱。雅虎、优步、Solar...

07月10日20 views评论

阅读全文

安全文章

记一次Jenkins后台注入内存马测试

前言本篇文章主要内容为，如何在Jenkins系统中注入内存马。上周的一个项目，把其中比较关键的知识点写出来记录分享下。项目的最终需求是获取指定靶标系统的后台管理员权限，此时已从nacos中收集到靶标...

07月10日498 views评论

阅读全文

代码审计

JspxCMS 多个漏洞代码审计分析，任意文件上传，Shiro反序列化，SSRF等，搭建调试简单。

嗨，大家好，我是闪石星曜@云渡。今天为大家分享《JspxCMS 系统的代码审计漏洞分析》，该篇文章是来自内部圈子“每周任务安排”计划下不错的文章，来自羊羽师傅。进入正文。任意文件上传登录后台（账...

07月10日94 views评论

阅读全文

信息情报

国内用户如何注册Telegram

Telegram, 简称TG，在中文用户中又叫电报，或者纸飞机，是一款类似微信、WhatsApp和QQ的加密即时通讯软件。那么如何注册和使用Telegram？什么是Telegram (电报)? T...

07月10日152 views评论

阅读全文

英特尔修复 Indirector 侧信道漏洞：可泄露敏感数据

近日，安全专家最新披露了 Indirector 漏洞，影响英特尔 Raptor Lake 和 Alder Lake 处理器，是一种全新的侧信道攻击，可以窃取处理器中的敏感信息。好消息是英特尔公司于今...

07月10日安全新闻65 views评论

阅读全文

安全文章

Next.js 和缓存中毒：黑洞探索

介绍为了寻找挑战、零日漏洞和赏金，我专注于广泛使用的软件，以寻找有趣的缓存中毒案例。我的注意力很快转向了Next.js，这是一个基于 React 的开源 JavaScript 框架，由 Vercel...

07月10日114 views评论

阅读全文

安全新闻

银行窃密木马综合分析报告

本文作者：小玉玉一. 背景燥热的夏天，最近一段时间三四个金融客户都中了一个同一种木马病毒，MS08067安全团队对此事进行了相关跟进，获取到了相应的样本，并对其一个最新的变种样本进行了详细分析，初...

07月10日34 views评论

阅读全文

语音信息可能成为网络罪犯的新沃土

音频内容的日趋流行。有声读物已成为一个数十亿美元的产业，主流音乐流媒体平台也扩大了播客服务，初创公司推出了多个专门的音频社交网络，最新的一家是Airchat。多份报告显示，语音信息在年轻一代中正在变...

07月10日安全新闻17 views评论

阅读全文

admin

在线咨询

微信