未授权 - 第 32 | CN-SEC 中文网

HW&HVV

HW现场-地级市HVV | 未授权访问合集

目录0x00 前言0x01 案例一某事业单位接口泄露发现过程小结0x02 案例二某建工公司档案库越权访问发现过程小结0x03 案例三某JJ支队后台到代码泄露发现过程小结0x04 案例四某大数据公司系统...

06月30日110 views评论

阅读全文

【漏洞预警】Grafana 身份认证绕过漏洞漏洞威胁通告

1. 通告信息近日，安识科技A-Team团队监测到一则Grafana组件存在身份认证绕过漏洞的信息，漏洞编号：CVE-2023-3128，漏洞威胁等级：高危。该漏洞是由于Grafana和Az...

06月29日安全漏洞42 views评论

阅读全文

安全文章

SRC漏洞挖掘之未授权接口

CVES实验室未授权接口目标站点： https://www.xxx.com/#/auth/401 即使有账号也是无法登录的，需要管理员给予授权才行。在反馈功能处没有挖到xss与任意文件上传漏洞，...

06月22日89 views2

阅读全文

安全文章

对Webpack渗透的一些案例

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

06月19日209 views评论

阅读全文

安全文章

某漏洞扫描系统的0day挖掘

在渗透测试中，遇到某个公司的漏洞扫描系统，顺势挖掘了下，发现了可远程命令执行的漏洞漏洞分析通过某种手段，获取到了关键性的代码，得到以下结论：1、该系统采用django开发（正好前段时间学完了用来练手...

06月16日51 views评论

阅读全文

安全漏洞

VMWare Aria Operations for Networks 未授权远程命令执行（CVE-2023-20887）

VMWare Aria Operations for Networks 未授权远程命令执行（CVE-2023-20887） VMware Aria Operations for Networks (...

06月15日112 views评论

阅读全文

安全百科

敏感信息泄露监测--从网页JS代码中寻找敏感信息

1.简介:JavaScript已经成为现代Web浏览器开发中最普遍的技术之一。使用客户端JavaScript框架（如AngularJS，ReactJS和Vue.js）构建的应用程序已向前端输送了大量功...

06月10日126 views评论

阅读全文

安全工具

红队批量脆弱点搜集工具

免责声明本公众号所发布的文章及工具代码等仅限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。 SRC困惑挖src更多是业务漏洞、逻辑;现在工作业务变了,遇到更多框架类漏洞,就会导致...

06月06日154 views已关闭评论

阅读全文

HW&HVV

地级市HVV | 未授权访问合集渗透测试

在网站前后端分离盛行下，将大部分权限控制交给前端，导致js中隐藏未授权或者可绕过的前端鉴权。前后端分离的好处是提高开发效率，同时防止黑客更直接的对服务器造成危害，但权限控制的工作量全部交给前端会导致大...

06月06日71 views评论

阅读全文

安全漏洞

漏洞预警 | 微信未授权API导致信息泄露？

漏洞原理原理猜测为：脱库者使用程序在类似找回密码显示前3后2的渠道用原始wxid穷举AP1获取绑定手机号，具体为何会显示完整号码导致数据泄露就不得而知了。原始wxid可以理解为微信账户的基础D，后面用...

06月06日138 views评论

阅读全文

安全文章

未授权检测 | 如何快、准优雅

挖src更多是业务漏洞、逻辑;现在工作业务变了,遇到更多框架类漏洞,就会导致个问题.1.比如我每个站点都想要探测springboot、Actuator、xxl-job以及一些未授权访问的内容那么,就得...

06月06日28 views评论

阅读全文

安全漏洞

【已复现】用友NC反序列化漏洞安全风险通告

奇安信CERT致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）安全通告用友NC是一款企业级ERP软件。作...

06月05日197 views评论

阅读全文

在线咨询

微信