发表的所有文章 | CN-SEC 中文网

安全漏洞

(在野0day)某赛通某接口存在文件上传漏洞

01 漏洞描述此电子文档安全管理系统提供了一系列的功能和措施，旨在确保电子文档的机密性、完整性和可用性，以防止未经授权的访问、篡改或丢失。其中uploadFile接口存在任意文件上传漏洞，攻击者通过...

12月20日72 views评论

阅读全文

安全文章

.NET系统|看我如何一步到位注入内存马

01 前言本次议题是上篇文章的补充，本来是想用靶场来搞一下，没想到，在项目中遇到了，通过真实场景来攻击，变得更有意思了。打开链接，吆，aspx的(由于背景图和logo太明显了，f12去掉了背景图)...

12月20日216 views评论

阅读全文

未分类

一款综合性资产收集工具

文章正文 YoScan是一款综合性资产收集工具整合近二十种优秀工具，以实现综合性、一键式资产收集，包括子域名收集、Web存活探测、Web指纹探测、筛选真实IP并整理为C段、真实ip的top1000端...

12月20日73 views评论

阅读全文

安全闲碎

shell脚本实现文件自动清理并推送钉钉机器人告警

shell脚本实现文件自动清理并推送钉钉机器人告警需求场景：接上一篇shell脚本实现Linux磁盘空间超过阈值自动钉钉机器人告警当磁盘空间超过阈值时，这时需要人为去清理一些不需要的历史大日志文件，那...

12月20日31 views评论

阅读全文

安全文章

某头部直辖市攻防演练纪实-如何不用0day打下n个点

不可多得的实战好文，建议收藏前言在某头部直辖市的攻防演练中，各家安全厂商投入了大量人力物力...而我方基本未做准备，只有小米加步枪，且看如何不用0day如何连下数城前言几个月前打了一场某头部直...

12月20日27 views评论

阅读全文

安全漏洞

【漏洞复现】金蝶Apusic应用服务器远程代码执行漏洞

0x01 阅读须知天擎攻防实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进...

12月20日166 views评论

阅读全文

安全新闻

图神经网络和代码大模型加持 | 提升二进制比对分享

一、背景1.1验证补丁的困惑众所周知，寻找并定位二进制代码之间存在（源）代码复用、存在的差异，其准确率及召回率是2个关键指标。另外，无恒实验室意识到，面对IoT设备ROM中数以千计的应用和动态链接库的...

12月20日58 views评论

阅读全文

安全新闻

K8S 中对 Windows 节点的利用

在许多组织中，所运行的很大一部分服务和应用是 Windows 应用。Windows 容器提供了一种封装进程和包依赖项的方式，从而简化了 DevOps 实践，令 Windows 应用程序同样遵从云原生模...

12月20日30 views评论

阅读全文

安全开发

在Windows平台使用VS2022的MSVC编译LLVM16

一前言联动一下隔壁帖子，本文章仅作为一个补充：如何优雅的在 Windows 上使用 LLVM Pass 插件进行代码混淆https://bbs.kanxue.com/thread-272346....

12月20日87 views评论

阅读全文

安全漏洞

【漏洞预警】Apusic 应用服务器远程代码执行漏洞

Apusic 应用服务器远程代码执行漏洞Apusic 应用服务器 createDataSource 远程代码执行漏洞Apusic 应用服务器 loadTree 远程代码执行漏洞原文始发于微信公众号（...

12月20日100 views评论

阅读全文

安全文章

CVE-2023-36025 Windows SmartScreen安全功能绕过漏洞分析

摘要 CVE-2023-36025是微软于11月补丁日发布的安全更新中修复Windows SmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞，对目标系统进行攻击...

12月20日58 views评论

阅读全文

安全新闻

腾讯云服务跨租户劫持风险研究

一. 概述云 IDE 指的是无需本地环境，通过浏览器访问即可实现云端开发环境获取、代码编写、编译调试、运行预览、访问代码仓库、命令行执行等能力的云端工具。云上代码开发编程的概念实际上在2000年就已...

12月20日248 views评论

阅读全文

在线咨询

微信