未授权 - 第 23 | CN-SEC 中文网

安全工具

JumpServer堡垒机综合漏洞利用工具

工具简介 JumpServer 堡垒机未授权综合漏洞利用，Exploit for CVE-2023-42442 / CVE-2023-42820 / RCE 2021 未授权任意用户密码重置 (CVE...

02月18日93 views评论

阅读全文

安全文章

一次JS未授权获取web网站权限的模仿学习

翻阅某社区有大佬发了一篇web后台的文章。从JS未授权到拿下网站权限，感觉非常的牛逼，于是乎我开始寻找特征（这里不阐述了），找到了当时的站点，这样就可以愉快的复现了。（有问题请联系我删除，本文只是为了...

02月17日11 views评论

阅读全文

安全文章

九维团队-绿队（改进）| CVE-2023-33246 Apache RocketMQ RCE从0到1

一、漏洞描述CVE-2023-33246: Apache RocketMQ: RocketMQ may have a remote code execution vulnerability when ...

02月15日38 views评论

阅读全文

安全漏洞

某系统存在弱口令+未授权+命令执行+信息泄露漏洞

No.0前言漏洞基本上已修复No.1入口从config.js获取大量接口实现漏洞大满贯No.2弱口令dev/DevAdminNo.3swagger未授权访问+信息泄露swagger中有大量接口，可通过...

02月15日44 views评论

阅读全文

安全文章

从js文件中发现的未授权

从js文件中发现的未授权正文查看某个js文件，手动尝试里面的200个接口(为什么要手动，因为这里每个接口都有特定的参数)，这里花费大量时间去阅读js文件，同时检查它是get还是post请求同时发现了下...

02月11日19 views评论

阅读全文

安全工具

【神兵利器】武装BurpSuite让打点更轻而易举（二）

免责声明文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具介绍项目地址：https://git...

02月10日47 views评论

阅读全文

安全文章

众测案例分享

No.0前言在众测中，找到了很多奇奇怪怪的漏洞，感觉很值得和大家分享一下No.1某助手小程序通过前端泄露的登录包，进行未授权登录到后台访问小程序：访问小程序的时候，发现业务的核心是在终端号和扫码识别等...

02月10日24 views评论

阅读全文

安全文章

Swagger接口管理未授权导致任意用户登陆

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。这是很久之前的一个授权项目了，目的就是想尽一切办法拿到这个授权站点的漏洞，虽然老板说简简单单弄一下，出一点...

02月09日25 views评论

阅读全文

安全漏洞

漏洞分析 | Jenkins 未授权文件读取漏洞（CVE-2024-23897）

Jenkins是一个流行的开源持续集成（CI）和持续交付（CD）工具，它可以帮助团队自动化软件开发中的各种任务和流程，从而提高效率和质量。Jenkins 有一个内置的命令行界面 (CLI)，可以从脚本...

02月07日36 views评论

阅读全文

安全漏洞

漏洞复现|智慧园区综合管理平台存在未授权高危漏洞（0Day）

点击上方蓝字关注我们BEGINNING OF SPRING添加星标不迷路由于公众号推送规则改变，微信头条公众号信息会被折叠，为了避免错过公众号推送文章，敬请大家动动手指设置“星标”，完成之后可...

02月05日72 views评论

阅读全文

安全文章

利用Apache Flink 未授权远程代码执行获取服务器权限

本文涉及内容敏感，可能被恶意用户投诉举报，故本文设置试读模式，2元解锁，或移步知识星球查看，星球一次付费永久免费,内含大量渗透工具及付费知识。Apache Flink Dashboard默认没有用户权...

02月04日32 views评论

阅读全文

安全文章

某通用引发供应链的思考

本文由掌控安全学院 - 不知江月待何人投稿扫码领资料获网安教程前言前段时间看到很多人在打某通用系统，简单记录一下思路。某通用单位系：xxx科技公司产品如下：资产还不少，记住这个容器服务平台等下还要...

02月04日23 views评论

阅读全文

在线咨询

微信