在平时的测试中,会经常的碰到业务功能较多的站点,如果想全面又快速的完成逻辑越权漏洞的检测不得不借助Authz插件去辅助检测越权问题。
04月17日132 views评论a
auth
Apache Solr configset upload文件上传漏洞(CVE-2020-13957)
Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏洞。攻击者可以构造特定请求,上传相关恶意文件...
04月17日162 views评论a
ac
WebSphere Application Server XXE漏洞
WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它...
04月17日102 views评论a
app
Apache Shiro 权限绕过漏洞分析(CVE-2020-13933)
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
04月17日107 views评论a
ac
一次面试用到的bypass脚本
bypass 最近投了一家上来就说要测试,给我丢了个注入靶场,本以为可以用sqlmap一把梭,没想到考的是mssql手注+bypassWAF而且还是双WAF(宝塔+安全狗).于是就...
04月17日168 views评论a
bypass
Spring Framework反射型文件下载漏洞(CVE-2020-5421)
Apache Spark存在远程代码执行漏洞(CVE-2020-9480)
2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应C...
04月17日211 views评论a
ac
Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,...
04月17日64 views评论a
ac
干货|分享一下最近几个月收藏的优质项目合集
Fastjson BasicDataSource攻击链简介
沈沉舟@青衣十三楼飞花堂 「声明: 文中涉及到的相关漏洞均为官方已经公开并修复的漏洞,涉及到的安全技术也仅用于企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论,严禁用于非法用...
04月17日81 views评论a
b
ThinkphpGUI 2020HackingClub线下典藏版 工具
JAVA RMI反序列化知识详解
Author: Alpha@天融信阿尔法实验室在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制...
04月17日64 views评论a
av
1156