render - 第 2 | CN-SEC 中文网

安全漏洞

（CVE-2024-45195）Apache OFbiz 一次又一次从未授权到RCE的分析

漏洞概要Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。前两天OFBiz官方发布了最新的 18.12.16，这次也主要...

09月19日53 views评论

阅读全文

安全文章

原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析

作者：Sunflower@知道创宇404实验室时间：2024年9月12日1 前言漏洞名称：Apache OFBiz SSRF to RCE漏洞影响：version < 18.12.16CVE：C...

09月13日55 views评论

阅读全文

CTF专场

2024巅峰极客挑战赛-初赛Write up

WebEncirclingGame直接玩，游戏很简单一分钟搞定：GoldenHornKingssti但是没回显，正好这两天分析python各个框架内存马，直接上个fastapi内存马即可。import...

08月19日73 views评论

阅读全文

代码审计

某软报表|SpringKill对0day模板注入的代审分析（无POC）

此文章由SpringKiller安全研究师傅产出，这位佬是一个能独立开发一款企业级IAST，伸手0day伸脚1day，能手搓操作系统用脚逆向的师傅，还是OWASP的代码贡献者之一。哦，差点忘了，这个师...

07月31日20 views评论

阅读全文

利用某种组件来实现SSRF

正文正常请求在正常情况下，Prerender会接受用户代理为SlackbotLinkExpanding 1.0的请求，并渲染网页内容。这种请求不会包含恶意的JavaScript代码。例如：curl -...

07月12日安全文章85 views评论

阅读全文

安全新闻

Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞

前言一句话总结(点击原文跳转) 主要描述了一个在Evernote应用中发现的关键性漏洞，该漏洞可以通过嵌入恶意PDF文件到笔记中，利用PDF.js的字体注入进行JavaScript代码执行，进而通过...

07月11日46 views评论

阅读全文

安全闲碎

前端单元测试与端到端测试策略

来源：稀土掘金　　前端单元测试和端到端（E2E）测试是确保Web应用质量的关键组成部分。　　前端单元测试　　前端单元测试主要关注代码的最小可测试单元，如函数、组件等，确保它们按预期工作。常用的测试框架...

07月08日6 views评论

阅读全文

安全漏洞

Wikimedia/svgtranslate 2.0.1 远程代码执行

系统概述SVGTranslate由维基媒体开发，将SVG文件转换为PNG图像，同时允许在SVG内容中进行基于语言的文本替换。此 PHP 后端应用程序的结构通过 ApiController.php 和 ...

06月17日46 views评论

阅读全文

安全文章

Electron Math：800 万用户注意到应用程序存储型 XSS -> RCE

这个非常有趣的发现实际上始于 YouTube 视频 ->微软如何意外地从 2.7 亿用户那里窃取后门。它看起来像是一个与点击诱饵黑客相关的视频（激起人们对微软的愤怒并试图教孩子们如何黑客攻击）。...

05月27日23 views评论

阅读全文

安全博客

前端 MVVM 框架可能出现的安全问题

这些年，AngularJS、React 和 Vue.js 算是前端框架中比较热门的，相对于 jQuery 等框架，有一些不太一样的可能出现问题的点，当然都是集中在 XSS 上。模板注入类似后端模板...

04月20日12 views评论

阅读全文

安全漏洞

WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600)

本次代码审计项目为PHP语言，我将继续以漏洞挖掘者的视角来分析漏洞的产生，调用与利用.....前方高能，小伙伴们要真正仔细看咯.....漏洞简介CVE-2024-25600 是一个严重的（CVSS 评...

03月13日34 views评论

阅读全文

安全漏洞

pyLoad 未经身份验证的 Flask 配置泄漏漏洞

漏洞简介 pyLoad是一个用Python编写的免费开源下载管理器，旨在通过Web进行极其轻量级，易于扩展和完全管理，不仅可以下载直接链接，还可以从许多网站下载。其接口/render/i...

03月11日28 views评论

阅读全文

（CVE-2024-45195）Apache OFbiz 一次又一次从未授权到RCE的分析

原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析

2024巅峰极客挑战赛-初赛Write up

某软报表|SpringKill对0day模板注入的代审分析（无POC）

利用某种组件来实现SSRF

Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞

前端单元测试与端到端测试策略

Wikimedia/svgtranslate 2.0.1 远程代码执行

Electron Math：800 万用户注意到应用程序存储型 XSS -> RCE

前端 MVVM 框架可能出现的安全问题

WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600)

pyLoad 未经身份验证的 Flask 配置泄漏漏洞

在线咨询

微信