id - 第 7 | CN-SEC 中文网

安全文章

CVE-2024-22120 | Zabbix服务器sql注入漏洞

影响描述 CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口（CLI）的特性，其中CLI使用args4j库解析命令行参数。arg...

05月21日52 views评论

阅读全文

安全漏洞

Gradio component server 任意文件读取(CVE-2024-1561)

0x00.产品介绍 Gradio是一个开源的Python库，用于创建机器学习模型的交互式界面。它使得展示和测试模型变得简单快捷，无需深入了解复杂的前端技术。广泛应用于数据科学、教育、研究和软件开发领域...

05月19日58 views评论

阅读全文

一个高危的xss

正文正常情况下在正常的GitLab操作中，使用GitLab的API导入GitHub上的项目通常涉及以下请求： curl -kv "https://gitlab.com/api/v4/import/...

05月19日安全文章9 views评论

阅读全文

安全工具

【工具】几个Telegram定位、落查工具

今天给大家推送几个Telegram定位、落查工具： 1、从 Telegram 用户/ID 获取电话号码输入用户名或者用户ID获取用户电话号码 https://www.callmebot.com/ge...

05月18日238 views评论

阅读全文

ThinkPHP 5.1中的链式查询

一、基本查询考虑一个名为User的模型，我们将使用链式查询从数据库中查询用户记录。 // 导入模型类use appcommonmodelUser;// 创建模型实例$userModel = new U...

05月17日代码审计12 views评论

阅读全文

绕过Facebook CSRF防护机制实现账户劫持

今天分享的这个漏洞是Facebook的CSRF防护机制绕过漏洞，攻击者利用这个漏洞可以发送带有CSRF token的请求至任意Facebook产品服务端用户，实现账户劫持。某些场景下，攻击者可能会构造...

05月16日安全文章28 views评论

阅读全文

安全工具

钉ding/企业V信API-T00L利用工具

工具简介针对互联网各大API泄露的利用工具，包含钉钉、企业微信、飞书等，目前界面长这样，布局拉胯，能用就行。特别鸣谢chatgpt，代码好帮手。钉钉利用 1、肯定你得有ak、as，填进去获取to...

05月15日17 views评论

阅读全文

安全漏洞

亿赛通电子文档安全管理系统SQL注入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述亿赛通电子文档安全管理系统以数据资产防泄密为核心，涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块，实现对用户电脑终端、移动办公...

05月15日128 views评论

阅读全文

安全工具

如何使用AzurEnum快速枚举Microsoft Entra ID（Azure AD）

关于AzurEnum AzurEnum是一款针对Azure的安全工具，在该工具的帮助下，广大研究人员可以轻松快速地枚举Microsoft Entra ID（Azure AD）。该工具基于纯Pytho...

05月14日7 views评论

阅读全文

安全文章

记某SRC邀请处逻辑越权到组织管理员漏洞

本文由掌控安全学院 - xi4007 投稿 1.在挖掘某src漏洞时候信息收集的时候收集到某小程序该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的这里我们准备两个测试账号(A和B) 2...

05月13日17 views评论

阅读全文

安全文章

记某高校渗透测试24-0506

免责声明感谢您关注SSP安全研究公众号。请注意，本文中所涉及的技术均为得到相关授权的情况下使用，本文章仅作为技术分享所用。本公众号及作者对使用信息导致的任何损失概不负责。如发现侵权问题，请及时联系我...

05月10日29 views评论

阅读全文

安全文章

记某积分商城任意金额支付漏洞分析利用及思考

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文链接：https://forum.butian.net/share/2949大部分开发人员在开...

05月10日30 views评论

阅读全文

在线咨询

微信