01 漏洞描述 该Web应用输入数据未经过有效过滤,导致系统命令被拼接和执行。此漏洞使得攻击者能够通过构造恶意请求来实现远程代码执行。具体而言,Array Networks APV...
Hvv - node.js 漏扫
在我们的日常工作中,很多时候我们需要对内部系统进行渗透测试。通常,这个过程会耗费大量的时间来查找每一种可能的漏洞。在上周的一次安全演练里,我用某个Node.js工具检测了我们的一个应用。在短短几十分钟...
红队视角下的 Java 安全策略与实践
从红队的专业视角,全面且深入地探讨了在面对基于 Java 开发的应用系统时,如何系统且有效地进行安全评估和攻击模拟。通过详尽阐述信息收集、漏洞扫描、代码审计等关键环节,结合丰富的实际案...
方天云智慧平台系统某接口存在SQL注入漏洞
01 漏洞描述 方天云智慧平台系统是一种综合性智能解决方案,结合了先进的云计算技术和大数据分析能力。它为企业和组织提供了全面的数据管理、分析和应用服务,支持实时数据处理和预测分析...
美国CISA和FBI警告公众注意操作系统命令注入漏洞
2024 年 7 月 10 日,CISA 和 FBI 发布了新的安全设计警报,强调了常见软件产品中OS(操作系统)命令注入漏洞的危险。尽管这些漏洞在现代软件解决方案中继续出现,但已经存在明确的安全设计...
瑞格智慧心理服务平台某接口存在SQL注入漏洞
01 漏洞描述 瑞格智慧心理服务平台是一家致力于提供个性化心理健康支持的平台。通过先进的AI技术和专业心理学家团队,为用户提供定制化的心理评估和个性化的心理咨询服务。平台注重隐私...
蓝凌OA系统前台存在远程代码执行漏洞
01 漏洞描述 该系统是一款针对中小企业的移动化智能办公产品,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务...
在PDF HTML注入中利用SSRF
免责声明道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵...
如何合规使用用户输入信息进行训练
今天简单聊聊使用用户输入的数据来训练和优化模型的事情。不知道你在向大模型提问和聊天时,是否曾担心过自己输入的内容会被大模型用来做其他的处理?比如作为模型训练和优化的养料。对于这点,国家标准《生成式人工...
某在线录音管理系统存在任意文件下载漏洞
01 漏洞描述 该系统是一款全面的企业管理软件,涵盖多个领域,助力企业实现信息化管理和业务优化。此系统某接口存在任意文件下载漏洞。 02 资产测绘 Hunter语法:web...
记由长城杯初赛Time_Machine掌握父子进程并出题
一前言掌握一道题目的最好办法就是由做题人变成出题人。长城杯初赛,3h 20道题目(一道父子进程,一道VM,一道tea签到),虽然逆向三道题目质量确实高,但是感觉时间真的不够。本文所说的题目是Time_...
网络安全知识:大模型攻击之什么是即时注入攻击?
什么是即时注入攻击? 提示注入是针对大型语言模型(LLM)的一种网络攻击。黑客将恶意输入伪装成合法提示,操纵生成式人工智能系统 (GenAI) 泄露敏感数据、传播错误信息,甚至造成更糟的情况。 最基...
12