参数 - 第 15 | CN-SEC 中文网

安全闲碎

适用于Kubernetes 的AWS IAM 验证器中存在漏洞，导致提权等攻击

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士安全研究员指出，适用于 Kubernetes 的 AWS IAM 认证器中存在一个漏洞 (CVE-2022-2385)，可导致恶意人员模拟...

07月15日51 views评论

阅读全文

安全新闻

Hive最新变种来袭，医疗和IT行业信息安全建设将遭遇重大挑战

恶意文件家族名称：Hive威胁类型：勒索病毒简单描述：Hive 勒索软件于 2021 年 6 月首次被发现，主要攻击医疗和 IT 行业，历经多次变种，最新变种进行了多项重大升级，其中最主要的改变为编程...

07月14日45 views评论

阅读全文

安全工具

swagger-ui 接口发送工具更新

前言swagger-tool是用python写的一个自动化解析swagger-api接口并发送的脚本。主要用于解析并查看swagger所有接口信息快速自动化发送接口数据到目标接口将swagger接口数...

07月12日92 views评论

阅读全文

安全文章

实战 | 一次水平越权漏洞的利用

扫码领资料获渗透教程免费&进群随本文记录了一次水平越权的全过程，大致发生了如下：修改post参数，导致越权查看和删除；修改路径（REST风格参数），导致越权修改；修改cookie字段，绕过登录...

07月08日125 views评论

阅读全文

安全文章

参数化导致的WAF绕过研究

1参数化介绍在前面的两篇文章中，我们已经对编码和normalize这两个阶段可能造成的WAF绕过进行了分析。按照之前文章的分析结论，参数化是整个WAF工作过程中的又一个重要的阶段，在这个阶段中同样存在...

07月08日27 views评论

阅读全文

安全文章

CVE-2022-30333 UnRAR 一个有趣的解压缩路径穿越漏洞

★且听安全★-点关注，不迷路！★漏洞空间站★-优质漏洞资源和小伙伴聚集地！漏洞信息开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本的二进制文件中发现了一个路径穿越漏洞 C...

07月05日218 views评论

阅读全文

安全文章

自己遇到的一些逻辑漏洞

/**水文，不看也罢**/任意用户密码重置1.验证码类缺陷 1.1 验证码回显到验证码回显在客户端(响应主体、Set-Cookie等等…)。 ...

07月02日42 views评论

阅读全文

安全文章

【漏洞复现】Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)

0x01 前言 Spring官方发布了关于Spring Data MongoDB SpEL表达式注入漏洞的修复信息，当使用@Query或@Ag...

06月29日585 views评论

阅读全文

安全文章

如何发现并处置越权漏洞？ | FreeBuf甲方群话题讨论

越权访问是Web应用程序中的一种常见漏洞，在OWASP发布的2021年十大Web应用安全风险榜单中排列第一。在攻防实战中，越权漏洞也常常是红方进行渗透的重要手段之一，不仅运用范围广，危害也较大，本次...

06月27日51 views评论

阅读全文

安全文章

命令注入攻击（上）

在本节中，将学习什么是命令注入攻击，并描述如何检测和利用这一漏洞，介绍些适用于不同操作系统的命令和技术，并总结如何防止命令注入攻击。什么是命令注入攻击？命令注入（也称为shell注入），是...

06月27日30 views评论

阅读全文

移动安全

绕过微信小程序签名验证

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。微信小程序的前端代码很容易被反编译，一...

06月18日210 views评论

阅读全文

安全文章

Linux三种网络攻击方法总结(DDoS,CC和ARP欺骗)

在下方公众号后台回复：【网络安全】，可获取给你准备的最新网安教程全家桶。一、DDos 攻击首先，打开一个命令行输入以下命令：git clone https://github.com...

06月17日122 views评论

阅读全文