01漏洞描述Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Fire...
[如何写出一行价值34M USD的代码] Akutar NFT漏洞分析
BlockSec发现Akutar数字藏品合约(https://etherscan.io/address/0xf42c318dbfbaab0eee040279c6a2588fa01a961d)存在两个非...
如何理解管理权限最小化
01导语在安全计算环境中的访问控制这个控制点的“d)应授予管理用户所需的最小权限,实现管理用户的权限分离;” 这个经常有人说是“三权分离”,个人认为实际上这是存在偏差的,不信我们一起来想想?...
记一次项目上的漏洞挖掘
接到领导通知,要对某个客户的资产做一次渗透,客户只给了一个C段IP,具体的资产需要自己去收集通过fofa搜索后,拿到一堆的资产。看了一遍发现客户有个金和的OA系统,于是就有了下面的故事打开后就是个登录...
【漏洞预警】Apache Struts2爆高危漏洞
1漏洞描述近日,某团队漏洞监控中发现Apache Struts2存在远程代码执行漏洞,漏洞编号:CVE-2021-31805,漏洞威胁等级:高危。该漏洞由于对CVE-2020-17530的修复不完整造...
AWS云安全系列 5 - IAM不严谨的权限 II
国内云安全培训请点击原文或访问以下链接https://www.yuque.com/u8047536/supvqp/ri4ft0前提是已经获取了相关的密钥步骤 1:将 AWS CLI配置为访问凭证步骤 ...
octosuite:一款功能强大的开源高级GitHub OSINT框架
关于octosuite octosuite是一款功能强大的高级GitHub公开资源情报(OSINT)框架,广大研究人员可以使用该工具收集针对目标GitHub库的相关信息。&nbs...
Spring Security Oauth2拒绝服务漏洞安全通告
近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,VMware官方发布了安全公告,解决了在Spring Security OAuth 2中存在的一个拒绝服务漏洞(CVE-2022-2...
gitlab漏洞系列-guest用户可以从组发布接口看到发布Tag
gitlab漏洞系列-guest用户可以从组发布接口看到发布Tag声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不...
安全岗面试总结
主要是笔者hw和应聘的面试记录,以及补充了身边师傅的一些面经,希望能对大家有所帮助知识点: cms漏洞, 框架漏洞端口: 知识积累笔记本 xss的分类:&n...
Linux Sudo 漏洞(CVE-2019-14287)分析
No.1漏洞介绍 最近的国外的团队跟踪并披露了该漏洞,报告中发现,在所有sudo版本低于1.8.29 的Linux机器,均受到该漏洞的影响。 &...
信息安全手册之系统管理指南
系统管理云服务的系统管理与内部部署资产的系统管理相比,云服务的系统管理带来了独特的挑战。值得注意的是,云服务的系统管理责任通常在服务提供商和组织之间共享。由于服务提供商实施的技术堆栈和系统管理流程通常...
103