权限验证 | CN-SEC 中文网

安全文章

KiloEx的800万是怎么被盗的

慢雾(SlowMist) 协助 KiloEx 追回全部被盗资金，事件回顾漏洞利用链与原理总结1. 漏洞根源：合约权限验证缺陷继承问题KiloEx的TrustedForwarder合约继承了OpenZe...

04月23日6 views评论

阅读全文

安全漏洞

ProjectSend 身份认证绕过漏洞(CVE-2024-11680) POC

原文链接：https://zone.huoxian.cn/d/2961-ndayprojectsend-cve-2024-11680 作者：jylove 0x1 组件简介ProjectS...

01月06日35 views评论

阅读全文

取证分析

涉网案件中失效APP的研判思路

在《涉网案件中“失活网站”的研判思路》一文中，我们共同探讨了失活涉诈网站的研判思路。虽然由于技术难度和资源配置等因素，电信网络诈骗案件中，诈骗APP关停不如诈骗网站那样迅速和直接。但掌握失效诈骗APP...

10月16日32 views评论

阅读全文

安全漏洞

【风险通告】GitLab存在多个高危漏洞

漏洞公告近日，安恒信息CERT监测到GitLab存在多个高危漏洞，漏洞CVE-2024-9164，在GitLab EE中存在权限验证不当，攻击者不受正常权限和配置限制的约束从而在任意分支中执行操作。漏...

10月10日35 views评论

阅读全文

安全文章

利用金和oa权限验证漏洞组合拳造成其他前台漏洞

前言在研究和复现金和oa C6的历史漏洞时，我注意到了一个奇怪的现象：比如SQL类型的前台漏洞，基本无一例外在aspx文件结尾加上了/ 后续那么是不是就能猜想金和oa C6存在权限...

05月07日17 views评论

阅读全文

安全文章

实战 | 另类方式拿下考场管理系统webshell权限

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！日常测试最近又到了学生考试的时候，在一高校下发现了一考试管理系统如下：老规矩，先试试有没有注入很遗憾，是没有的，也很正常，那接下来我们去搜集一...

05月07日10 views评论

阅读全文

安全新闻

【漏洞通告】IP-guard WebServer权限绕过漏洞

一、漏洞概述漏洞名称 IP-guard WebServer权限绕过漏洞 CVE ID暂无漏洞类型安全绕过发现时间2024-04-16漏洞评分漏洞等级高危攻击向量网络所需权限无利用难度低用户交互...

04月19日36 views评论

阅读全文

安全漏洞

【已复现】CVE-2023-22518 Atlassian Confluence权限验证不当漏洞二次通告

>>>> 漏洞名称：【已复现】CVE-2023-22518 Atlassian Confluence权限验证不当漏洞二次通告>>>> 组件名称：Atla...

02月15日48 views评论

阅读全文

安全文章

赏金猎人|记一次越权导致敏感信息泄露及信息发送

0x01 前言叙述目标平台是一个招聘网，对资产进行打点，发现真没啥可以做的，现在安全防范做的都不错，WEB各种防护鉴权，但是功能点是真的LOW，文件上传点都没有，发送验证码压根收不到，最后从APP下手...

02月12日22 views评论

阅读全文

安全漏洞

【漏洞通告】Smartbi 安全绕过漏洞风险通告

漏洞背景近日，嘉诚安全监测到Smartbi官方修复了某种特定情况下的登录与权限验证漏洞，漏洞编号：暂无。 Smartbi是广州思迈特软件有限公司旗下的一款商业智能应用，满足用户在企业级报表、数据可视...

08月24日33 views评论

阅读全文

安全文章

另类方式拿下考场管理系统shell

最近又到了学生考试的时候，在一高校下发现了一考试管理系统如下：老规矩，先试试有没有注入很遗憾，是没有的，也很正常，那接下来我们去搜集一下信息吧，先去扫一下这个域名。扫出来很多，但打开都会跳转到登录页面...

01月09日32 views评论

阅读全文

安全文章

实战 | 另类方式拿下考场管理系统

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

12月12日29 views评论

阅读全文

在线咨询

微信