repository | CN-SEC 中文网

安全文章

【Pwned Labs】揭开 CodeCommit 和 Docker 的秘密

0x00 场景介绍Huge Logistics 公司邀请你们团队进行一次安全评估。你们的主要目标是审查他们的公共代码仓库，查找是否存在被忽略的凭据或敏感信息。如果发现相关信息，可以利用它们获取对其云基...

05月19日15 views评论

阅读全文

一文学习Spring依赖注入

简介在Spring框架中，为了确保组件之间的依赖关系得到正确管理和维护，建议使用依赖注入（Dependency Injection, DI）。依赖注入是一种设计模式，允许程序在运行时自动为类的成员变量...

04月28日代码审计14 views评论

阅读全文

安全文章

PG_BitForge

信息收集：root@iZt4nbifrvtk7cy11744y4Z:~# nmap -p- -Pn -A -sS -T4 192.168.233.186Starting Nmap 7.80 ( htt...

04月16日10 views评论

阅读全文

安全工具

手把手部署雷池WAF

环境检测最低配置需求操作系统：Linux指令架构：x86_64软件依赖：Docker 20.10.14 版本以上软件依赖：Docker Compose 2.0.0 版本以上最小化环境：1 核 CPU ...

04月08日22 views评论

阅读全文

安全文章

HTB靶机 - dog记录

信息搜集1、端口扫描nmap -A -v -T4 10.10.11.58PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 U...

03月17日166 views评论

阅读全文

安全博客

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

Apache Archiva是一个存储库管理软件，2.2.9以下版本在删除或者下载Artifact时，可以在目录或者文件名中注入目录穿越符，导致任意目录删除/任意文件读取漏洞。 CVE-2022-40...

02月27日31 views评论

阅读全文

安全漏洞

Nexus Repository Manager 3 远程命令执行漏洞

漏洞介绍：Nexus Repository Manager 3 是一款软件仓库，可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中，存在一处任意EL表达式注入漏洞。漏洞环...

02月22日35 views评论

阅读全文

HTB_Cat(思路)

HTB_catlinux(Med)总结user.txt：代码审计(xss反弹cookie->sql盲注)root.txt：端口转发->敏感文件内容泄露->gitea-xss由于ses...

02月07日安全文章16 views评论

阅读全文

安全漏洞

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

Apache Archiva是一个存储库管理软件，2.2.9以下版本在删除或者下载Artifact时，可以在目录或者文件名中注入目录穿越符，导致任意目录删除/任意文件读取漏洞。CVE-2022-403...

12月06日15 views评论

阅读全文

代码审计

Yaml反序列化漏洞原理与实践

SnakeYaml序列化与反序列化SnakeYaml是用来解析yaml的格式，可用于Java对象的序列化、反序列化。此漏洞起因是错误使用了序列化方法，并且反序列化了不可信的数据，故理论上SnakeYa...

11月24日22 views评论

阅读全文

安全漏洞

CVE-2024-4956：Nexus Repository 3目录穿越漏洞

0x01 简介 Sonatype Nexus Repository 是美国Sonatype公司的一款存储库管理器，用于存储和分发软件组件、构建工件和 Docker 容器。它支持多种包格式...

11月14日30 views评论

阅读全文

信息情报

【开源工具】- SASTSweep 大规模识别开源代码库中漏洞

【🔔】互联网资料/工具，安全性未知，需要自行研判安全性。sastsweep是一款旨在大规模识别开源代码库中的漏洞的工具。它可以收集和过滤关键存储库指标，例如受欢迎程度和项目规模，从而实现有针对性的漏洞...

11月04日20 views评论

阅读全文

【Pwned Labs】揭开 CodeCommit 和 Docker 的秘密

一文学习Spring依赖注入

PG_BitForge

手把手部署雷池WAF

HTB靶机 - dog记录

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

Nexus Repository Manager 3 远程命令执行漏洞

HTB_Cat(思路)

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

Yaml反序列化漏洞原理与实践

CVE-2024-4956：Nexus Repository 3目录穿越漏洞

【开源工具】- SASTSweep 大规模识别开源代码库中漏洞

在线咨询

微信