本文始发于微信公众号():月神-业务逻辑漏洞之支付和并发
11月15日安全文章796 views评论微信
漏洞
干货 | IAST安全测试如何防止数据污染
作者简介 Eric,携程资深开发工程师,关注应用安全、渗透测试方面的技术和相关开源产品的二次开发。一、前言携程信息安全部门目前在研究百度OpenRASP技术,让它在携程落地进行服务漏洞扫描防...
11月15日293 views评论测试
漏洞
记一次渗透测试
Shiro漏洞利用该网站页面存在Remember me,大概率是shiro由于这个环境并不稳定,请求多了就卡住(自带防御属性啊~)https://github.com/tangxiaofeng7/Sh...
11月15日378 views评论https
漏洞
越权漏洞检测工具 secscan-authcheck
概念: 越权,顾名思义,就是超出了权限或权力范围。多数WEB应用都具备权限划分和控制,但是如果权限控制功能设计存在缺陷,那么攻击者就可以通过这些缺陷来访问未经授权的...
11月15日468 views评论权限
漏洞
深入利用Shiro反序列化漏洞
更多全球网络安全资讯尽在邑安全0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shir...
11月15日184 views评论序列化
漏洞
CVE-2020-16939:windows组策略DACL覆盖导致的权限提升漏洞分析
十月,Microsoft发布了一个补丁程序来纠正Windows组策略客户端中的漏洞。该漏洞可能允许攻击者以提升的权限执行代码。近日,安全研究员Nabeel Ahmed向ZDI程序报告了此漏洞,他很详细...
11月15日269 views评论cve
漏洞
近期公布的11个CVE漏洞总结
参考自深信服千里目实验室、嘶吼专业版、互联网等,由HACK之道汇总。1、Windows TCP/IP远程代码执行漏洞CVE-2020-16898漏洞描述Windows TCP/IP堆栈不当地处理ICM...
11月15日699 views评论攻击者
漏洞
漏洞风险提示 | Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898)
TCP/IP远程代码执行漏洞(CVE-2020-16898)复现
简介Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的...
11月14日332 views评论windows
漏洞
深入分析Apache Tomcat中的WebSocket漏洞
在本文中,我们将与读者一起深入分析Apache Tomcat中的WebSocket漏洞。概述Apache Tomcat是一种Java应用程序服务器,常用于Web应用程序,我们在渗透测试中经常会遇到它。...
11月14日902 views评论apache
漏洞
某奖评审系统注册处存在短信炸弹
点击蓝字 · 关注我们01漏洞标题某奖评审系统注册处存在短信炸弹02漏洞类型逻辑漏洞03漏洞等级低危04漏洞地址某奖评审系统注册处http://xxxxx.org.cn ...
11月14日373 views评论http
漏洞
某平台后存在弱口令可直接爆破登录后台
点击蓝字 · 关注我们01漏洞标题某平台后存在弱口令可直接爆破登录后台。02漏洞类型弱口令。03漏洞等级高危。04漏洞地址http://xxxx.xx.xx:8809/Home/...
11月14日811 views评论http
漏洞
1037