controller - 第 5 | CN-SEC 中文网

代码审计

DTStack Taier 1.4.0 listNames sql注入分析(CVE-2024-41579)

通告漏洞分析根据参考文献，很幸运发现了payload 通过payload可以知道漏洞触发接口是listNames触发参数是jobName 在项目的Model层和xml文件查询jobName 在Ja...

12月17日12 views评论

阅读全文

制度法规

ISO/IEC 27701: 2019 标准详解与实施（6）4.4 顾客

点击上方蓝色字“Sky的安全观”关注我们>>ISO系列标准解读合集<<ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）ISO/IEC 27001: 201...

12月11日7 views评论

阅读全文

安全文章

Spring环境下有关内存马的回显总结

0x01 前言在学习各种内存马的过程中，关注到了观星实验室的一篇文章，较为全面的列举了在Spring环境下的有关内存马的实现技巧这里我们深入进行学习学习一下0x02 正文前景回顾网上常见的内存马方式是...

12月05日14 views评论

阅读全文

安全文章

java slip漏洞复现分析

微信公众号：[念沉凡] 初学安全的小老弟写的，思路来自于https://xz.aliyun.com/t/12081提供的案例。java zip slip漏洞‍‍‍‍zip slip漏洞其实是目录遍历漏...

11月24日13 views评论

阅读全文

安全工具

万户oa任意文件上传漏洞检测工具

0x01 工具介绍万户oa fileUpload.controller任意文件上传漏洞检测。3333333 /defaultroot/upload/fileUpload.controller。 0x...

11月10日27 views评论

阅读全文

安全漏洞

灵当CRM存在前台SQL注入漏洞

0x00 前言灵当CRM致力于为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案,构建全生命周期的数字化管理体系,实现可持续的业绩增长，...

11月07日48 views评论

阅读全文

代码审计

畅捷通T+ Plus 审计（超详细）

0x00 前言FOFA: app="畅捷通-TPlus" 使用量:10W畅捷通T+这套系统有十分完备的Ajax接口然而大部分接口都是可以无需鉴权即可使用也导致了更多的Bug 下...

10月20日79 views评论

阅读全文

安全漏洞

nginxWebUI runCmd远程命令执行漏洞

漏洞描述nginxWebUI是一款图形化管理nginx配置的工具，能通过网页快速配置nginx的各种功能，包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、...

10月18日22 views评论

阅读全文

安全漏洞

漏洞复现中远麒麟堡垒SQL注入漏洞

0x01 漏洞描述麒麟堡垒机能够提供细粒度的访问控制,最大限度保护用户资源的安全。麒麟堡垒机存在SQL注入漏洞漏洞。0x02 漏洞复现fofa：cert.subject="Baolei"1.访问htt...

10月07日41 views评论

阅读全文

安全开发

自研内存马查杀工具Memshell_Kill

工具介绍随着攻防演练的愈演愈烈，对抗的技术也在不断提升，在攻防演练中攻击者常常为了不留痕迹以及进行权限维持会注入内存马，在内存马中又以tomcat类型和spring类型较多。有些系统又比较关键，可能...

09月28日38 views评论

阅读全文

代码审计

2024年最新新小剧场短剧影视系统代码审计(RCE)

点击上方蓝字关注我们并设为星标0x00 前言2024年最新新版小剧场短剧影视小程序源码+风口项目，短剧APP 小程序源码风口项目，短剧app 小程序 H5 多端程序对接了易支付，修复了众...

09月26日45 views评论

阅读全文

安全漏洞

万户OA-ezOFFICE fileUpload.controller 任意文件上传漏洞

漏洞描述万户OA-ezOFFICE DocumentEdit_unite.jsp 接口存在一个 SQL 注入漏洞，通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来...

09月24日67 views评论

阅读全文

在线咨询

微信