点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432)
点击上方蓝字关注我们 并设为星标0x00 前言Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网...
某大厂渗透岗30题终极拷问
一、基础理论篇(5题)1. 如何绕过Cloudflare等CDN获取真实IP?列举5种实战方法答案:① 历史DNS记录查询(SecurityTrails/ViewDNS)② 邮件服务器头信息溯源③ 云...
高危预警!CSRF禁术复活!百万用户秒变提线木偶,腾讯安全组连夜追杀域外天魔!
甲方爸爸看了立刻召开安全会议!白帽子边骂边点进来学POC构造!!吃瓜群众误以为是修真小说误入技术战场!!!平台算法因“4000万”“夺舍”等高流量词疯狂推送!!!!你还在犹豫什么!速速点击关注公众号加...
网安原创文章推荐【2025/5/9】
2025-05-09 微信公众号精选安全技术文章总览洞见网安 2025-05-09 0x1 如何通过XSS接管 Microsoft 账户漏洞集萃 2025-05-09 20:39:31 本文详细分析了...
借助pikachu和DVWA靶场带你走进跨站请求伪造CSRF攻击
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户在已认证网站上的身份,本质上是利用网站的同源策略对该网站执行非本意操作的攻击方式。下面是其原理和攻击方式的详...
漏洞复现篇 | CraftCMS 任意命令执行漏洞,CVE-2025-32432
免责声明!本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。大 纲0x01 漏洞概述0x02 影响范围0x03 资产测绘...
2025 年跨站点 WebSocket 劫持利用
在 Include Security 进行客户评估期间,我发现了一些我最感兴趣的发现,它们利用了跨站 Websocket 劫持 (CSWSH) 漏洞。然而,回顾过去的发现,我意识到其中一些漏洞如今并非...
赏金故事 | 多个漏洞组合拳拿下PayPal高危漏洞
在寻找安全问题时,许多研究者往往会把注意力集中在未公开的资产和隐蔽的端点上,而忽略了一些明显却同样关键的功能点。 如果你将目标当作是第一次接受安全测试的系统,并对每一个环节进行彻底检查,...
代码审计之CSRF
介绍本篇为代码审计系列的第十篇《代码审计之CSRF》,预计本系列为30篇左右。CSRF跨站请求伪造,用一句话来概括的就是:攻击者诱使已认证的用户在不知情的情况下执行非预期的操作。大体步骤为:1、用户登...
Jenkins 修复CSRF和开放重定向等多个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门开源自动化服务器Jenkins 发布安全公告修复多个漏洞,其中包括加密机密泄露和跨站请求伪造 (CSRF) 漏洞。该安全公告在2025年3月5日发...
【RCE】Dedecms V5.7.115 存在命令执行漏洞
点击上方蓝字关注我们 并设为星标 0x00 前言 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经...