Fortinet于2025年5月13日(本周二)披露并紧急修补了一个已被积极利用的严重远程代码执行 (RCE) 零日漏洞CVE-2025-32756。该漏洞对FortiVoice企业电话系统构成直接威...
网安原创文章推荐【2025/5/16】
2025-05-16 微信公众号精选安全技术文章总览洞见网安 2025-05-16 0x1 告别手动!自动化构造LNK钓鱼文件,攻防演练利器免费领!毛酷红队 2025-05-16 20:30:16 本...
Web安全盲点:8种HTTP请求攻击如何绕过防御——从参数篡改到权限提升
引言超文本传输协议(HTTP)是网络数据通信的基础。每一次客户端与服务器之间的交互都涉及HTTP请求,这使它们成为攻击者的首要目标。通过利用HTTP请求中的漏洞,恶意攻击者可以篡改参数、上传有害数据和...
FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码
Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。这个CVS...
国际象棋网站漏洞 从XSS到账户接管的探索之旅
前言在网络安全的世界里,每一次探索都是一次冒险。今天,我要分享的是一个关于如何发现并利用Chess.com漏洞的故事。这个过程充满了曲折和意外,但也正是这些意外,让我最终找到了那个“大奖”。背景:初次...
从DeepSeek安全问题看HTTP代理攻击
关注兰花豆,探讨网络安全奇安信XLab实验室监测发现,对DeepSeek的攻击出现大量的HTTP代理攻击方式。HTTP代理攻击是一种基于应用层的攻击方式,攻击者利用代理服务器作为跳板,对目标服务器发起...
ChatGPT Crawler漏洞可以通过HTTP请求进行DDoS攻击
ChatGPT的网络爬虫的行为可以通过发现的漏洞来利用:在特定的查询条件下,OpenAI的bot可能会无意中对任意网站执行DDoS攻击。这个有趣的漏洞是由网络安全研究员Benjamin Flesch报...
WGS-804HPT 交换机中存在多个严重漏洞,可导致RCE和网络利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员在 Planet技术公司的 WGS-804HPT工业交换机中存在三个漏洞,它们可被用于在可疑设备上实现预认证远程代码执行。上周四,Cla...
RequestShield:一款HTTP请求威胁识别与检测工具
关于RequestShieldRequestShield是一款HTTP请求威胁识别与检测工具,旨在帮助广大安全分析人员更好地分析和识别HTTP请求中的潜在安全威胁。RequestShield是一款 1...
神兵利器 | XXEinjector:一款功能强大的自动化XXE注射工具
🙈前言今天给大家介绍的是一款名叫XXEinjector的漏洞利用工具XXEinjector是一款基于Ruby的XXE注入工具它可以使用多种直接或间接带外方法来检索文件其中,目录枚举功能只对Java应用...
WSGI中的请求走私问题研究
目录一、WSGI介绍二、请求走私三、WSGI server中的走私问题四、总 结一WSGI介绍WSGI是一种规范,描述了web server如何与web application通信的规范。WSGI规...
更美观的HTTP性能监测工具:httpstat
最近在工作中遇到了一个挺有趣的开源网络安全工具,想和大家分享一下。这个工具叫做reorx/httpstat,是一个基于Python编写的cURL命令行工具,旨在提供更美观和详细的HTTP请求统计信息。...