漏洞描述:在Aррliаnсе模式下运行时,未公开的iCоntrоl REST端点中存在经过身份验证的远程命令注入漏洞成功利用,该漏洞可让攻击者跨越安全边界。攻击场景:攻击者可能通过未公开的iCont...
支付卡 REST API 安全 Top 5 风险测试用例
支付卡 REST API 安全 Top 5 风险测试用例TOP5 具体测试用例,包括:授权和认证绕过测试速率限制和资源消耗测试数据验证和注入测试敏感数据暴露测试功能级别RBAC测试1. 授权和认证绕过...
多家大型养老基金超2万个账号遭入侵,至少数百万元养老储蓄金被盗
关注我们带你读懂网络安全多家大型养老基金超过2万个用户账号遭到入侵,其中仅AustralianSuper基金用户就有超过220万元资金被转出,目前整体损失规模尚不确定,澳大利亚政府已就此发布警告。前情...
CVE-2025-20029:F5 BIG-IP系统发现命令注入漏洞,概念验证已发布
关键词安全漏洞在广受欢迎的网络流量管理与安全解决方案 F5 BIG-IP 系统中,发现了一个命令注入漏洞。该漏洞编号为 CVE-2025-20029,由Deloitte的Matei “Mal” Bad...
Cisco Meeting Management客户端-服务器权限提升漏洞
一、漏洞描述Cisco Meeting Management的REST API中存在一个漏洞,可允许经过身份验证且具有低权限的远程攻击者在受影响的设备上将权限提升为管理员。存在此漏洞的原因是未对 RE...
CVE-2022-1388漏洞分析
前言前两天在赛博群里看大家讨论这个洞讨论的火热,简简单单的poc,轻轻松松的执行命令,分分钟杀穿BIGIP,看大家发的文章涉及java层的比较少,正巧这个月没写啥文章,蹭一波热度吧。哈哈哈。环境搭建进...
DATAGerry 终端节点接口敏感信息泄露 POC
漏洞描述 DATAGerry 2.2.0 及之前版本中的接口中REST API 端点存在未授权访问漏洞,攻击者无需身份验证即可远程访问该端点,导致敏感信息泄露。该漏洞可能暴露用户权限配置等关键数据,进...
浅谈GraphQL渗透测试
本文由掌控安全学院 - yuy0ung 投稿 前置知识 GraphQL概念 GraphQL是一个用于 API的查询语言,下面我用通俗的语言来谈谈它的特点: 简单说,GraphQL 是一...
WordPress Hunk Companion插件存在前台组合拳RCE漏洞 (附poc)
0x00 前言 Hunk Companion插件是一个包含创建完整网站所需的所有功能。这个插件背后的主要动机是提升 ThemeHunk 主题的功能。在 1.8.4 之前的所有版本中,这使得未经身份验证...
F5 BIGIP CVE-2021-22986认证绕过漏洞分析
出品|先知社区(ID: 1s1and)声明以下内容,来自先知社区的1s1and作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作...
如何使用mitmproxy2swagger对REST API进行逆向工程分析
关于mitmproxy2swagger mitmproxy2swagger是一款功能强大的逆向工程分析工具,该工具能够以自动化的形式将捕捉到的mitmproxy数据转换为符合OpenAPI 3.0...
【技术分享】MindAPIAPI安全思维导图简介
文/vivo千镜安全实验室随着应用程序驱动的普及,API接口已经是Web应用、移动互联网等领域的重要组成部分,由于对API接口的访问与控制伴随着数据的传输,其中不乏大量的用户隐私数据以及重要文件数据。...