鉴权 | CN-SEC 中文网

安全文章

渗透私活heapdump泄露到拿下核心数据库

1.前言有段时间没发文章了，丢点以前的存货案例出来吧。这个是之前帮朋友搞的一次私活渗透测试（合法有授权！），用到了一些有意思的小tips。还是值得分享一下的。 2.从接口未鉴权到获取源码到jav...

10月13日19 views评论

阅读全文

安全工具

java-web自动化鉴权绕过 -- NoAuth

0x01 工具介绍审Java代码的时候，经常会遇到接口因鉴权问题被组合拳getshell，例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间，花了点时间分析总结了下网上所有与Java鉴权...

08月02日21 views评论

阅读全文

安全文章

记一次另类未授权之——精准丢包

去年的洞，不小心翻到了，今天又看了一下，发现这个思路还可以，所以给大家分享一下。因为是去年的文章，所以不要喷我，去年我很菜的，当然今年也是从ACL拿下一个url随便测测，发现它是先进入后台再跳转到首...

07月15日18 views评论

阅读全文

安全文章

记一次另类未授权之精准丢包

本文由掌控安全学院 - 山屿云投稿去年的洞，不小心翻到了，今天又看了一下，发现这个思路还可以，所以给大家分享一下。从ACL拿下一个url随便测测，发现它是先进入后台再跳转到首页，于是我用burp...

05月23日21 views评论

阅读全文

安全文章

金和oa协同管理平台历史漏洞分析三则

金和oa协同管理平台（又称金和C6协调管理平台），共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务...

03月28日62 views评论

阅读全文

代码审计

代码审计-CVE-2023-6654-PHPEMS-加密-解密分析

本文来自团队小伙伴:c3ting 博客地址 https://c3ting.com 正文：路由：入口方法：鉴权分析：由此可以得出鉴权是由session类负责获取参数后，由各个类的魔术方法负责：...

02月03日59 views评论

阅读全文

代码审计

实战|记一次前台getshell组合拳审计的完整过程

免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

12月22日42 views评论

阅读全文

安全文章

用友NC-CLOUD 任意文件上传和SQL注入漏洞分析

漏洞描述用友NC Cloud ncchr登陆校验中存在安全特性绕过漏洞，由于登陆调用Loginfilter.class类针对request请求头中accesstokenNCC解密校验场景缺失，因此存在...

12月16日111 views评论

阅读全文

安全文章

漏洞实战 | 数据泄露

随着移动互联网的快速发展和物联网设备的普及，API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用，因此与API相关的数据泄露事件也逐渐增多。F...

12月08日16 views评论

阅读全文

SecIN安全技术社区

SpringWeb常见鉴权措施与垂直越权检测

一、越权测试中的痛点/难点越权漏洞是日常开发中比较常见的一个缺陷。要进行越权检测，一般需要明确定义和管理系统中的权限。这可能包括用户角色、资源和操作的细粒度权限控制。维护这些...

11月08日66 views已关闭评论

阅读全文

HW&HVV

【新】通达OA前台反序列化漏洞分析

0x01 前言注：本文仅以安全研究为目的，分享对该漏洞的挖掘过程，文中涉及的所有漏洞均已报送给国家单位，请勿用做非法用途。通达OA作为历史上出现漏洞较多的OA，在经过多轮的迭代之后已经很少前台的R...

08月09日59 views已关闭评论

阅读全文

安全漏洞

PowerJob<=4.3.3 远程代码执行漏洞 CVE-2023-37754

漏洞描述： PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/detail 端点发送恶意...

07月31日35 views评论

阅读全文

渗透私活heapdump泄露到拿下核心数据库

java-web自动化鉴权绕过 -- NoAuth

记一次另类未授权之——精准丢包

记一次另类未授权之精准丢包

金和oa协同管理平台历史漏洞分析三则

代码审计-CVE-2023-6654-PHPEMS-加密-解密分析

实战|记一次前台getshell组合拳审计的完整过程

用友NC-CLOUD 任意文件上传和SQL注入漏洞分析

漏洞实战 | 数据泄露

SpringWeb常见鉴权措施与垂直越权检测

【新】通达OA前台反序列化漏洞分析

PowerJob<=4.3.3 远程代码执行漏洞 CVE-2023-37754

在线咨询

微信