Java Web 三大件: 在讲Tomcat 之前,先说讲一讲Java Web 三大件,也就是Servlet、Filter、 Linstener,当 Tomcat 接收到请求后,会依次经过 Lis...
漏洞预警 | 用友NC SQL注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述用友NC是用友网络科技股份有限公司开发的一款大型企业数字化平台。它主要用于企业的财务核算、成本管理、资金管理、固定资产管理、应收应付管理等...
由xml加密文件引起的渗透
在漏洞挖掘过程中,通过目录泄漏漏洞发现某网站存在公民个人隐私泄露,后续发现该网站提供了客户端和服务器端程序,将其下载到本地并进行安装,通过研究发现其客户端和服务器端都有一个加密的config.xml文...
漏洞预警 | Apache Superset服务器端请求伪造漏洞
0x00 漏洞编号CVE-2023-363880x01 危险等级中危0x02 漏洞概述Apache Superset是一个现代的、企业级的数据可视化和数据探索的网络应用程序。它可以连接多种数据源,提供...
【翻译】通过链式攻击劫持会话奖励 2500美元(016)
标题:Bug Bounty Writeup: $2500 Reward for Session Hijack via Chained Attack作者:Anton (therceman) 原文地址:h...
CVE-2024-4040 SSTI 和 LFI PoC - 漏洞利用
这是 CrushFTP 中服务器端模板注入 (SSTI) 和本地文件包含 (LFI) 漏洞的概念验证。特征通过服务器端模板注入 (SSTI) 和身份验证绕过来利用 CrushFTP 服务器中的严重严重...
开源C2框架:Nimbo-C2 -支持全平台,功能强大
在这个充满复杂威胁的数字世界中,拥有一款强大而灵活的C2框架对于渗透测试人员和安全研究人员来说至关重要。 今天,七夜要向你们介绍一款名为Nimbo-C2的轻量级C2框架,它不仅功能全面,...
【漏洞通告】Next.js服务器端请求伪造漏洞(CVE-2024-34351)
一、漏洞概述漏洞名称Next.js 服务器端请求伪造漏洞CVE IDCVE-2024-34351漏洞类型SSRF发现时间2024-05-11漏洞评分7.5漏洞等级高危攻击向量网络所需权限无利用难度...
漏洞预警 | CrushFTP服务器端模板注入漏洞
0x00 漏洞编号CVE-2024-40400x01 危险等级高危0x02 漏洞概述CrushFTP是由CrushFTP LLC开发的文件传输服务器软件,主要用途是提供安全、可靠的文件传输服务,允许用...
分析新BBTok 恶意银行软件变体的服务器端组件
Check Point Research研究人员最近在拉丁美洲发现了一个活跃活动,该活动正在操作和部署BBTok银行软件的新变体。在这项研究中,我们会介绍新发现的攻击链,这些攻击链使用了一种独特的 L...
[漏洞复现] CVE-2024-4040 CrushFTP服务器端模板注入
本人非原创漏洞作者,文章仅作为知识分享用一切直接或间接由于本文所造成的后果与本人无关如有侵权,联系删除产品简介CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, We...
漏洞通告|CrushFTP 服务器端模板注入漏洞(CVE-2024-4040)
原文始发于微信公众号(矢安科技):漏洞通告|CrushFTP 服务器端模板注入漏洞(CVE-2024-4040)
20