未授权 - 第 34 | CN-SEC 中文网

安全文章

appid和secret泄露未授权调用api服务

appid和secret泄露未授权调用api服务1微信参考https://developer.work.weixin.qq.com/document/path/90665https://xz.aliy...

05月18日130 views评论

阅读全文

安全文章

Docker API未授权命令执行

Docker Swarm是Docker的集群管理工具，它将Docker主机池转变为单个虚拟Docker主机，能够方便的进行docker集群的管理和扩展。Docker Swarm使用标准的Docker ...

05月16日47 views评论

阅读全文

安全文章

致远OA ajax.do未授权任意文件上传漏洞复现

01 概述致远OA是一套办公协同管理软件。由于致远OA旧版本某些接口存在未授权访问，以及部分函数存在过滤不足，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。02 影响版...

05月15日254 views评论

阅读全文

安全文章

红队|窃取frp代理服务器

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。只供对已授权的目标使用测试，对未授权目标的测试作者不承担...

05月05日121 views评论

阅读全文

安全文章

针对Vue前后端分离项目的渗透思路

引言在目前的开发环境下，越来越多的厂商选择 Vue.js 来实现前端功能的编写，且成熟的前端框架已经可以实现后端代码实现的功能，导致后端目前只负责提供 Api 接口和文档，方便前端的同时去调用。本文主...

05月02日187 views评论

阅读全文

安全工具

常见的未授权漏洞检测工具 -- unauthorized

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本...

05月02日403 views评论

阅读全文

安全工具

Jmx未授权弱口令批量检测 | GUI工具

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！前言使用java1.8开发jmx未授权弱口令批量检测 GUI工具提示：请先筛选开放rmi register服务的主机端口填入目标，否则容...

05月02日181 views评论

阅读全文

安全文章

Swagger未授权泄露数据到进入后台

三月底拿swagger未授权水了几天的cnvd，期间遇到过一个比较经典的网站，拿出啦当作典型进行分享由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！一个监测预警平台的api接口文档（其实...

04月27日279 views评论

阅读全文

安全文章

K8s API Server未授权利用思路

文章前言k8s的Master节点上会暴露kube-apiserver，默认情况下会开启以下两个HTTP端口：A：Localhost PortHTTP服务主机访问受保护在HTTP中没有认证和授权检查默认...

04月25日96 views评论

阅读全文

【漏洞预警】Oracle WebLogic 4月份补丁日安全通告

1. 通告信息近日，安识科技A-Team团队监测到一则Oracle WebLogic官方发布安全补丁的通告，其中包含4个高危漏洞的信息。对此，安识科技建议广大用户及时升级到安全版本，并做好资...

04月20日安全漏洞138 views评论

阅读全文

安全工具

【推荐】一款web综合扫描工具

mscan 一款web综合扫描工具，集成最好用的工具，方便一键漏洞扫描。方便快捷是这款扫描器的优点，能随意修改增加模块。由于是模块化，方便二次开发，更新第三方工具不影响整个扫描器的使用。主要功能 ...

04月17日52 views评论

阅读全文

安全文章

记一次Web登录的通杀渗透流程

扫码领资料获网安教程免费&进群在渗透测试过程中，碰见的web登录页面特别多，那么我们应该用什么样的思路去进行一个测试呢，下面看看我的一些测试思路测试思路当看见一个这样的web登录框时，会怎么样...

04月09日48 views评论

阅读全文

在线咨询

微信