任意文件写入 | CN-SEC 中文网

安全文章

只需写个 .pyc 文件？Python 任意文件写入也能打 RCE！

概述在Web安全领域，存在一类称为"任意文件写入"(Arbitrary File Write，AFW)的漏洞，攻击者可以利用此漏洞在服务器上创建或覆盖文件，从而可能导致远程代码执行(Remote Co...

05月01日7 views评论

阅读全文

安全文章

GitHack任意文件写入漏洞预警与修复方案

前言最近几天，关注的lijiejie大佬的GitHack项目提交了commit[1]，Change Log写着Fix abitrary file write vulnerability。GitHac...

02月16日9 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/17】

2025-01-17 微信公众号精选安全技术文章总览洞见网安 2025-01-17 0x1 pikachu漏洞靶场通关手册（万字图文解析）泷羽Sec-Blanks 2025-01-17 23:25:3...

02月11日19 views评论

阅读全文

kkFileView漏洞不出网任意文件写入利用

利用版本4.2.0 <= kkFileView <= 4.4.0-beta使用两种方式注入注入内存马1、覆盖uno.py注入内存马路径可能需要更改"/opt/libreoffice6.0"...

02月08日安全文章43 views评论

阅读全文

安全文章

在受限的 Rails 应用程序中通过任意文件写入实现 RCE

介绍最近，我们遇到了一种情况，需要利用在受限环境中运行的 Rails 应用程序中的任意文件写入漏洞。该应用程序是通过 Dockerfile 部署的，该 Dockerfile 对可以写入的目录施加了限制...

01月26日14 views评论

阅读全文

安全漏洞

金蝶EAS任意文件写入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金蝶EAS是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。0x03 漏洞详情漏洞类型：文件上传影响：...

11月20日58 views评论

阅读全文

安全文章

如何将 Node.js 应用程序中的文件写入提升为 RCE

基础设施加固确实能增强应用程序抵御攻击的能力。这些安全措施提高了攻击者的门槛,使漏洞利用变得更加困难。但是,我们不能把它当作解决一切问题的银弹,因为执着的攻击者仍然可以利用源代码中的漏洞实现突破。在这...

11月05日25 views评论

阅读全文

安全开发

为什么代码安全在已加固环境中仍然重要

Why Code Security Matters - Even in Hardened Environments基础设施的强化使应用程序对攻击更加具有韧性。这些措施提高了攻击者的门槛，使得利用漏洞变...

11月03日30 views评论

阅读全文

利用 procfs 实现只读环境下的任意写到RCE

任意文件写入漏洞在开发过程中，如果没有对用户输入进行足够的限制或校验，很容易引入任意文件写入漏洞。这个问题通常出现在允许用户上传文件或提交内容并将其写入服务器时。如果开发者直接使用用户提供的文件名或路...

10月16日安全文章23 views评论

阅读全文

代码审计

致远oa表单导入任意文件写入漏洞分析

环境搭建 1 2 链接：https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码：h7kz （1）安装mysql数据库（针对A8版本）。...

10月13日31 views评论

阅读全文

安全文章

NodeJS 0day！代码安全—突破强化的环境

基础设施强化能够使应用程序在面对攻击时更具韧性。这些安全措施提高了攻击者的入侵难度，给他们设置了更多的障碍。然而，这并非万能之策，因为决心坚定的攻击者依然可以通过源代码中的漏洞发起攻击。在本篇博文...

10月11日38 views评论

阅读全文

安全新闻

如何将 Node.js 应用程序中的文件写入提升为 RCE (通过滥用 libuv 信号管道，可以绕过权限并执行任意代码)

10月10日34 views评论

阅读全文

在线咨询

微信