什么是MQTT?MQTT是一种轻量级的物联网通信协议,基于发布-订阅模式,广泛用于设备与设备之间的实时通信。MQTT Broker是消息的中心枢纽,负责接收、存储和分发消息。 MQTT未授权访问的风险...
安服面试笔记(上)
面试笔记分为上下两部分,前半部分总体来说偏向于基础面试不同的岗位,相对应的面试题量及难易程度也会不同,安服偏向于应急等知识,所以侧重点不是渗透的知识借用一句话:背诵面试题目只是骗自己,技术晋升大部分都...
接口未授权访问到任意文件下载
前言这次测试没啥技巧,全靠个人细心程度,可能一次的测试发现不了或者麻烦,反正总之就是摆烂了,我就是这样。不过我发这篇文章除了和大家一起分享之外还是这次测试挺容易的,感觉咱们国内的安全建设回到了2016...
Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限
谷歌公司发现Chrome浏览器存在两个高危漏洞后,紧急发布了安全更新。这些漏洞可能让攻击者窃取敏感数据并获取用户系统的未授权访问权限。这两个漏洞编号为CVE-2025-3619和CVE-2025-36...
从springboot未授权访问到接管百万级数据库
本文由掌控安全学院 - 我会发着呆 投稿 前言 本篇文章主要内容是某大学站点存在springboot actuator 未授权访问,通过后续利用接管百万级数据库。 声明:本篇文章漏洞目前...
CrushFTP新安全漏洞:未授权访问和CVE-2025-31161
1. Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Cop...
【差生文具多】各类常见服务及端口登录图形化工具大合集
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 在日常网络安全应急处置、安全测试及管理各类服...
水~如何使用 fofa 获取大量代理池?? 第二档
前言之前写过用 fofa 搜索 socks5 代理池,以前还将就可以用,现在可用越来越少了,5000 条只能爬出来 20 条左右没什么用 之 白嫖国内socks5代理简述一下以前的protocol==...
SRC挖掘之接口未授权访问
漏洞复现过程涉及相关敏感信息都是胡编乱造的,请勿对号入座!首先,访问某SRC专属资产:https://bcms.zeutor.net,页面空白(老演员)检索js获取到了未授权接口和参数,但此时缺少ba...
安卓调试桥未授权访问
11. ADB调试桥是什么? ADB(Android Debug Bridge)调试桥是一种用于在计算机和Android设备之间进行通信和调试的命令行工具。它可以通过USB连接或者Wi-Fi网络连接,...
一款Swagger API漏洞利用工具Swagger API Exploit 1.2
0x01 工具介绍 Swagger API Exploit 是一款用于检测 Swagger REST API 安全漏洞的工具。它能自动扫描 API 接口,分析敏感参数,检测未授权访问和认证绕过漏洞。该...
OLLAMA 未授权访问(CNVD-2025-04094)
内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后...