漏洞 - 第 174 | CN-SEC 中文网

filesupload小结 - 进击的肖恩123

WEB安全-上传漏洞 [TOC] 1.什么是上传漏洞 web应用上有一些上传文件或者图片的功能点，因未作严格安全限制，导致可以上传恶意代码或者魔改文件，getshell。 2.文件上传漏洞如何查找及判...

12月31日先知文章37 views评论

阅读全文

SecIN安全技术社区

永恒之蓝漏洞分析

一、 EternalBlue简介 EternalBlue 漏洞利用工具于 2017 年 4 月 14 日被“影子经纪人”小组在他们的第五次泄密“迷失在翻译中”泄露。泄漏包括许多利用工具，如永恒之蓝，...

12月31日768 views已关闭评论

阅读全文

SecIN安全技术社区

DedeCMS_V5.8.1模板注入漏洞分析

之前看到 DedeCMS 又爆出新的漏洞，虽然仅存在于 DedeCMS v5.8.1 beta 1 内测版，但还是想着做一个详尽的分析。环境搭建官网下载地址下载 DedeCMS v5.8.1 b...

12月31日562 views已关闭评论

阅读全文

SecIN安全技术社区

PHP代码审计小技巧(下)

5.fuzz漏洞发现 fuzz指的是对特定目标的模糊测试，这里要注意的是，针对特定目标甚至说是特定请求，它不同于漏洞扫描器，不过它们的初衷都是以发现bug(漏洞)为目的的。我们后面所说的fuzz都是安...

12月31日106 views已关闭评论

阅读全文

SecIN安全技术社区

记一次"username"中的命令注入

引言在JavaWeb中，在服务端主要通过调用Runtime.getRuntime.exec()方法或者ProcessBuilder.start()来执行系统命令。相关的漏洞场...

12月31日256 views已关闭评论

阅读全文

SecIN安全技术社区

简单梳理Log4j的漏洞原理以及复现

前言前几天安全圈子就像过了年一样热闹，那晚我也很惊讶。本来正在苦逼写javaEE项目，随后打算摸鱼的，突然看到了朋友圈有大佬讲log4j有漏洞，好巧！我当时正在用这个。随后就是各大公众号、SRC，实...

12月31日592 views已关闭评论

阅读全文

SecIN安全技术社区

Command2API - 万物皆可API

前言近期Log4j漏洞席卷而来，大家都忙得不可开交，对于攻击者来说这是好用的利器，而对于防御者来说这是一场与时间赛跑的应急挑战。大家都在忙着处理这个漏洞，关于这个漏洞的细节就不多说了，说一下我发现的...

12月31日68 views已关闭评论

阅读全文

先知文章

CVE-2018-8453 Win32k漏洞分析笔记 - 0x2l

CVE-2018-8453是一种UAF类型的漏洞，漏洞产生的原因是win32kfull!NtUserSetWindowFNID函数在对窗口对象设置FNID时没有检查窗口对象是否已经被释放，导致可以对一...

12月31日76 views评论

阅读全文

先知文章

Note——CVE-2010-3333 - ERFZE

0x01 漏洞描述漏洞成因：栈溢出漏洞。MSO.DLL在处理pFragments数组时未校验复制长度，故可构造数据造成栈溢出，劫持执行流。影响版本：Microsoft Office XP SP3,...

12月31日82 views评论

阅读全文

安全漏洞

【安全通报】Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

基本信息风险等级：高危漏洞类型：身份验证绕过漏洞利用：暂无 , 提交POC漏洞编号： CVE-2021-45232漏洞描述近日，我司应急团队监测到网络上出...

12月28日286 views评论

阅读全文

安全新闻

Handover漏洞影响2-5g网络

研究人员发现运营商网络handover机制存在安全问题，影响2345G网络安全。纽约大学阿布扎比分校研究人员在蜂窝数据网络的handover机制中发现一个安全漏洞，攻击者利用该漏洞可以使用低成本的设备...

12月28日87 views评论

阅读全文

【漏洞预警】SonicWall Analytics 远程代码执行漏洞

1. 通告信息近日，安识科技A-Team团队监测发现SonicWall 官方发布了SonicWall Analytics的风险通告，漏洞编号为CVE-2021-20032，漏洞等级：严重，漏...

12月27日安全漏洞119 views评论

阅读全文

filesupload小结 - 进击的肖恩123

永恒之蓝漏洞分析

DedeCMS_V5.8.1模板注入漏洞分析

PHP代码审计小技巧(下)

记一次"username"中的命令注入

简单梳理Log4j的漏洞原理以及复现

Command2API - 万物皆可API

CVE-2018-8453 Win32k漏洞分析笔记 - 0x2l

Note——CVE-2010-3333 - ERFZE

【安全通报】Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

Handover漏洞影响2-5g网络

【漏洞预警】SonicWall Analytics 远程代码执行漏洞

在线咨询

微信