curl - 第 8 | CN-SEC 中文网

安全文章

原创 | 一文看懂服务器请求伪造漏洞

什么是请求伪造攻击？如果Web系统中存在服务器请求伪造漏洞，不仅会影响系统本身，而且会影响到与其相关的其他系统服务。一个被忽视的服务器请求伪造漏洞，很容易引起蝴蝶效应，可能给整个系统带来长期的巨大危害...

11月17日42 views评论

阅读全文

CTF专场

2024浙江省大学生网络与信息安全竞赛wp

预赛结果公布了，我们队也是成功进入了决赛，希望能够取得好成绩把，今天发个我们队的wp吧~ 和大佬比没法比签到题目一名称：网安知识大挑战直接做完,显示错误，肯定不可能搜索文件打断点，同时发现flag在d...

11月04日70 views评论

阅读全文

代码审计

某最新版快递微信小程序系统存在前台任意文件读取漏洞

0x00 系统简介源码站简介:2024最新版快递跑腿微信小程序，支持查快递，查运费，分享佣金，修改地址，个人中心等功能，现在电商平台退换货量大，快递需求量大，对接物流一个单子4块到6...

10月31日42 views评论

阅读全文

安全漏洞

CVE-2024-42640 CVSS评分10.0 - Angular 未经身份验证的远程代码执行附EXP

由 Adones 创建的 angular-base64-upload 库 Pitogo 是一种工具，旨在简化上传 base64 编码文件的过程 Angular 应用程序。虽然它为开发人员提供了有价值的...

10月30日114 views评论

阅读全文

HW&HVV

记某次护网中对HIS系统的审计

1.前言最近在某次护网中，小队分到了一些医疗单位的靶标，小队师傅也是成功靠备份文件爆破手法找到了一个HIS系统的源码，为ASP.NET相关源码，恰好最近研究了很多.NET安全方面的知识，于是审计这块的...

10月22日45 views评论

阅读全文

代码审计

记一次审计某站泄露的源码

原文首发在：先知社区https://xz.aliyun.com/t/15886某次源码泄露审计时，易优CMS老版本的任意文件删除突然就出现了，漏洞点一到四为一套thinkphp框架的源码，漏洞点五为易...

10月21日23 views评论

阅读全文

安全文章

PoC 漏洞：带有后门恶意软件的虚假概念证明分析

安全研究人员依靠 PoC 通过无害测试来了解潜在的漏洞。在这种情况下，PoC 就是一头披着羊皮的狼，在无害的学习工具的幌子下隐藏着恶意。其隐藏的后门构成了隐秘、持续的威胁。作为下载程序运行，它默默地转...

10月18日87 views评论

阅读全文

sql注入漏洞基本原理

SQL注入漏洞基本原理 # Web应用程序对用户输入的数据校验处理不严或者根本没有校验，致使用户可以拼接执行SQL命令。可能导致数据泄露或数据破坏，缺乏可审计性，甚至导致完全接管主机。根据注入技术...

10月15日安全博客13 views评论

阅读全文

安全博客

CSRF

CSRF # CSRF是跨站请求伪造攻击，由客户端发起，是由于没有在执行关键操作时，进行是否由用户自愿发起的确认攻击者通过用户的浏览器来注入额外的网络请求，来破坏一个网站会话的完整性。比如某网站用户...

10月15日28 views评论

阅读全文

安全漏洞

灵当CRM存在前台任意文件读取漏洞 PoC

点击上方蓝字关注我们并设为星标 0x00 前言灵当CRM致力于为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案,构建全生命周期的数字化管理体系,实...

10月13日116 views评论

阅读全文

安全新闻

【漏洞预警】微软2024年10月补丁日多个安全漏洞

漏洞描述:近日,微软官方发布了10月安全更新,修复了合计117个安全漏洞,其中,包含2个严重漏洞（Critical）、75 个高危漏洞（Important）和 40 个中危漏洞（Moderate）,其...

10月10日164 views评论

阅读全文

安全工具

云上神器|七牛云利用工具

01 qvmtool 最近在攻防演练的时候发现了很多云上的资源，大多数都是阿里云，腾讯云偶尔遇见七牛云但是不知道如何利用，偶然间看到个工具很好用，分享给大家！ 02 使用说...

10月07日67 views评论

阅读全文

在线咨询

微信