在分析 CVE-2023-26119 漏洞时,发现了修复措施存在不完善的情况。该漏洞是由于 HTMLUnit 在执行 XSL 转换时未对 XSLT 进行安全限制所致。通过查看源代码,发现针对 XSLT...
【原创0day】亿赛通电子文档安全管理系统远程代码执行漏洞
亿赛通电子文档安全管理系统是一个集文档加密、权限控制和操作审计于一体的软件,用于提升企业文档的安全性和管理效率。 2023年5月,长亭安全研究员发现亿赛通电子文档安全管理系统存在一个远程代码执行漏洞(...
漏洞预警 | 亿赛通电子文档安全管理系统代码执行漏洞
0x00 漏洞编号CNVD-2023-594570x01 危险等级高危0x02 漏洞概述亿赛通电子文档安全管理系统以数据资产防泄密为核心,涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块,实...
攻防角度理解模板注入攻击2——OLE对象注入
目录导航 构造文档 插入ole对象 编写c2 python脚本 wireshark抓包分析 解析与分析ole对象 二进制缩减加排除法定位shellcode 确认与逆向分析shellcode 构造文档,...
攻防角度理解模板注入攻击
实验开始之前我们需要对本机host做劫持,修改hosts文件,让指定域名强制解析为我们机器的ip 将域名强制劫持成本地ip地址 接下来创建一个空白文档->选择开发者工具(非默认开启)->选...
最新 | 特斯拉Model 3安全漏洞解析:Pwn2Own 2023的深入研究
Unlocking the Drive Exploiting Tesla Model 3 -Grehack 2023 - David Berard, Vincent Dehors 这份文档是关于Dav...
WPS涉嫌盗用用户信息?
最近,WPS摊上大事了!有用户发现,在WPS更新的一版用户隐私政策中,明确提到:“我们将对您主动上传的文档材料,在采取脱敏处理后作为AI训练的基础材料使用。”换句话说,WPS有可能“白嫖”用户的文档信...
WPS深夜道歉,承诺用户文档不会被用于AI训练目的
近日有网友发现,WPS在其“隐私政策”中提到,“我们将对您主动上传的文档材料,在采取脱敏处理后作为AI训练的基础材料使用”,引发涉及用户隐私的质疑。 对此,11月18日晚上23:30,WPS官方微博回...
AI 语料危机 | WPS 想用用户文档“喂”AI
近日,许多网友发现在登录 WPS 选择同意隐私协议时,发现WPS 隐私政策中 4.2.1 第 4 小项难以接受。 WPS 隐私协议提出,为提升您使用我们提供的包括但不限于在线文档美化、在线 PPT 美...
初探 Struts2 框架安全
最近分析 confluence 的漏洞,发现是基于 Struts 框架的,其中有很多相关知识点并不了解,因此专门来学习一下 Struts 2。前言在网上一搜 Struts 2 资料发现介绍漏洞的文章比...
CNVD-2023-59471:亿某通电子文档安全管理系统任意文件上传漏洞
漏洞简介 亿某通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。...
干货 | Swagger的多种测试方式
免责声明: 该教程仅用于网络安全学习,如有人利用该技术从事违法犯罪行为一切和作者无关,请各位遵守法律法规! 设置星标,可以获得公众号文章的大图推送,感谢各位表哥的关注!!! Swagger简介 Swa...
36