实例 | CN-SEC 中文网

安全文章

AWS SSRF漏洞可在生产实例上获得Root权限(015)

标题：AWS SSRF to Root on production instance — A bug worth 1.75Lacs 作者：Avinash Jain (@logicbomb) 原文地址：...

08月05日29 views评论

阅读全文

Frida 主动调用Java类/方法来爆破的CTF思路

利用Frida去调用java代码中的类，然后爆破。算是一种主动调用的方法。主动调用可以用于爆破，模拟程序部分执行，需要注意的知识点是在java代码中的static类型数据在爆破过程中需要每次都对这种类...

08月02日移动安全12 views评论

阅读全文

安全文章

利用SSRF漏洞读取云服务元数据

关于SSRF漏洞原理就不过多赘述了，我们只需要理解攻击者可以将漏洞点当做一台跳板机来读取内网里的数据。如果目标资产部署在云上的话，其实我们可以有新的玩法----读取元数据。本次漏洞利用思路以阿里云为例...

07月30日175 views评论

阅读全文

宝兰德应用中间件和帆软0day预警

BES反序列化漏洞影响范围： BES9.5.0、BES9.5.1的所有版本均不受影响； BES9.5.2开始，Lite、Spring、Embedded版本均不受影响；只有单实例版本和集群版本受到影响...

07月26日HW&HVV1,143 views评论

阅读全文

安全文章

漏洞串联艺术: 获取您的所有ServiceNow数据

漏洞串联艺术: 获取您的所有ServiceNow数据Assetnote的客户被提前告知了我们为此漏洞创建的缓解措施。我们想特别强调ServiceNow对我们报告的快速响应。ServiceN...

07月14日65 views评论

阅读全文

安全新闻

AI 平台漏洞使攻击者能够执行远程代码

黑客攻击人工智能基础设施平台，因为这些系统包含大量有价值的数据、本质上复杂的算法和大量计算资源。⁤⁤因此，入侵此类平台可让黑客获取专有模型和敏感信息，不仅如此，还能操纵人工智能的结果。⁤⁤Wiz Re...

06月27日116 views评论

阅读全文

安全新闻

可绕过身份验证，GitHub企业服务器曝满分漏洞，附PoC

近日，安全研究人员披露了GitHub企业服务器（GHES）的关键漏洞（CVE-2024-4985，cvss得分：10.0），该漏洞允许未经授权的攻击者，在不需要预先认证的情况下访问GHES实例。漏洞影...

05月22日27 views评论

阅读全文

安全闲碎

线上问题排查实例分析｜关于 Redis 内存泄漏

Redis 作为高性能的 key-value 内存型数据库，普遍使用在对性能要求较高的系统中，同时也是滴滴内部的内存使用大户。本文从 KV 团队对线上 Redis 内存泄漏定位的时间线维度，简要介绍 ...

12月26日80 views评论

阅读全文

安全文章

记一次巧妙的SQL注入漏洞审计

一、前景提要起因是因为审计完rbac项目之后，把审计报告发到博客。过了一段时间有位师傅跟我说这个项目还有一个SQL注入我没有审计到，我寻思这个项目用的Mybatis框架，我记得SQL语句用$拼接参数...

12月22日34 views评论

阅读全文

安全闲碎

廉价合法临时小时服务器 - 用于shell反弹测试

这里有一个小概念，抢占式实例，主要指阿里，腾讯云中一种按需实例，性能与常规ECS实例无异，价格根据市场供需关系实时变化，相对于按量付费实例最高能节约90%的实例成本。介绍你是否面临下面这些问题？&nb...

12月05日103 views评论

阅读全文

安全百科

【权限维持技术】Windows:WMI 无文件后门（一）

WMI 简介 WMI，全名Windows Management Instrumentation，即Windows管理工具，是Microsoft的一种基于网络的管理服务。其可以帮助用户管理本地和远程计算...

11月11日62 views评论

阅读全文

安全新闻

Altassian Confluence“满分漏洞”危及全球数据中心和服务器

近日，由于漏洞被黑客积极利用，Atlassian Confluence数据中心和服务器版本软件曝出的高危漏洞（CVE-2023-22518）的CVSS评分从最初的9.1分提高到10分，这一“满分漏洞”...

11月09日22 views评论

阅读全文