未授权 - 第 35 | CN-SEC 中文网

安全文章

某OA系统未授权SQL注入漏洞分析

VLab-实验室墨云安全研究员在今年2月份发现某OA未授权SQL注入漏洞，厂商于04月18日已发布漏洞补丁，本文将针对该漏洞进行分析与验证。某OA的CheckServer.jsp文件默认是可以未授权访...

05月26日388 views评论

阅读全文

安全文章

对一个招聘网站的渗透测试（百花齐放）

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。宝子们现在只对常读和星标的公众号才展示大图...

05月24日58 views评论

阅读全文

安全文章

KubeOperator kubeconfig 未授权访问漏洞 CVE-2023-22480漏洞复现

前言KubeOperator是一个开源的轻量级 Kubernetes 发行版，专注于帮助企业规划、部署和运营生产级别的 K8s 集群。KubeOperator 3.16.4之前版本存在授权问题漏洞，该...

05月18日238 views评论

阅读全文

安全漏洞

【漏洞预警】CVE-2021-36749 Apache Druid LoadData 任意文件读取漏洞

1事件背景近日，Apache Druid 任意文件读取漏洞细节及 EXP 在互联网公开，攻击者可通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apach...

05月18日61 views评论

阅读全文

安全文章

企业SRC实战分享篇

一.记一次信息泄露到登入后台这次是项目上遇到的一个洞，打开页面是一个红红的登录页面这里就不放图了，浓浓的党政气息~老样子抓登录包虽然是明文传输但是爆破弱口令无果f12大法，在其中一个js文件中发现了这...

05月18日68 views评论

阅读全文

安全文章

appid和secret泄露未授权调用api服务

appid和secret泄露未授权调用api服务1微信参考https://developer.work.weixin.qq.com/document/path/90665https://xz.aliy...

05月18日133 views评论

阅读全文

安全文章

Docker API未授权命令执行

Docker Swarm是Docker的集群管理工具，它将Docker主机池转变为单个虚拟Docker主机，能够方便的进行docker集群的管理和扩展。Docker Swarm使用标准的Docker ...

05月16日47 views评论

阅读全文

安全文章

致远OA ajax.do未授权任意文件上传漏洞复现

01 概述致远OA是一套办公协同管理软件。由于致远OA旧版本某些接口存在未授权访问，以及部分函数存在过滤不足，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。02 影响版...

05月15日256 views评论

阅读全文

安全文章

红队|窃取frp代理服务器

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。只供对已授权的目标使用测试，对未授权目标的测试作者不承担...

05月05日122 views评论

阅读全文

安全文章

针对Vue前后端分离项目的渗透思路

引言在目前的开发环境下，越来越多的厂商选择 Vue.js 来实现前端功能的编写，且成熟的前端框架已经可以实现后端代码实现的功能，导致后端目前只负责提供 Api 接口和文档，方便前端的同时去调用。本文主...

05月02日189 views评论

阅读全文

安全工具

常见的未授权漏洞检测工具 -- unauthorized

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本...

05月02日408 views评论

阅读全文

安全工具

Jmx未授权弱口令批量检测 | GUI工具

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！前言使用java1.8开发jmx未授权弱口令批量检测 GUI工具提示：请先筛选开放rmi register服务的主机端口填入目标，否则容...

05月02日187 views评论

阅读全文

在线咨询

微信