免责声明本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与...
02月07日29 views评论注入漏洞
漏洞复现
【漏洞复现】大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
02月07日29 views评论注入漏洞
漏洞复现
02月07日29 views评论注入漏洞
漏洞复现
javascript伪协议解析
前言首先来介绍一下这个伪协议,JavaScript伪协议最重要的,其实就是可以用来执行js的代码,哪些地方可以用呢,a标签的href里面,iframe标签的src里面,甚至form标签的action和...
02月04日14 views评论action
javascript
谷歌修复代码测试工具Bazel 中的严重供应链漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌开源的软件开发工具 Bazel 中存在一个严重的供应链漏洞,可导致攻击者插入恶意代码。研究人员指出,该命令注入漏洞影响数百万个依赖于 Bazel ...
02月04日18 views评论action
供应链
大华城市安防监控系统平台attachment_downloadByUrlAtt.action存在任意文件读取漏洞 附POC软件
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
02月04日43 views评论任意文件读取漏洞
漏洞复现
谷歌 Bazel 面临命令注入漏洞威胁
关键词黑客勒索最近,安全研究人员在 Google 的开源项目之一,即 Bazel,中发现了一个潜在的供应链漏洞。这个漏洞涉及到 GitHub Actions 工作流程中的命令注入问题,可能导致恶意行为...
02月04日17 views评论action
命令注入漏洞
浙大恩特客户资源管理系统CrmBasicAction.entcrm接口存在任意文件上传漏洞 附POC软件
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
02月01日164 views评论action
漏洞复现
EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
点击蓝字 原文始发于微信公众号(SecHub网络安全社区):EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
02月01日安全文章20 views评论action
controller
eduSRC那些事儿-3(命令执行类+越权逻辑类)
本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。命令执行类St2命令执行在电量查询手机管理平台,观察到.do或...
01月31日11 views评论servlet
敏感信息
MSI武器化学习
您的转发就是我更新的动力。简介MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。MSI文件...
01月30日31 views评论action
microsoft
关于emlog6.0代码审计
本文由掌控安全学院 -xzz 投稿 1、后台标签删除处存在1处sql注入 漏洞条件 ● 漏洞url: http://emlog6.0.com/admin/tag.php?action=dell_all...
01月21日16 views评论action
dell
【漏洞复现】浙大恩特客户资源管理系统 crmbasicaction 任意文件上传
免责声明此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时联系我们。谢谢!漏洞概述...
01月16日27 views评论action
漏洞复现
CVE-2023-41892 Craft-CMS-远程代码执行漏洞
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
01月15日73 views评论action
远程代码执行漏洞
27