slip | CN-SEC 中文网

安全文章

那些常见代码中默认不安全模块的ZIP Slip攻击

简介压缩目录穿越攻击（Zip Slip）是一种安全漏洞，主要影响处理压缩文件（如 ZIP、TAR 等格式）的应用程序。攻击者通过精心构造的压缩文件，诱导目标应用程序在解压文件时将文件提取到预期目录之外...

02月17日5 views评论

安全文章

微信公众号：[念沉凡] 初学安全的小老弟写的，思路来自于https://xz.aliyun.com/t/12081提供的案例。java zip slip漏洞‍‍‍‍zip slip漏洞其实是目录遍历漏...

11月24日13 views评论

有研发的同学询问zip slip漏洞的修复，碰巧最近在批量找一些cms的zip slip漏洞，提供以下两种修复方式，仅供参考：修复方式1private static final int DEFAULT...

11月04日代码审计10 views评论

安全闲碎

Artifactory由 JFrog 开发，是一款业界领先的软件存储库管理器，它是一款用于存储和管理整个软件供应链中使用的所有工件、二进制文件、包、文件、容器和组件的单一解决方案。JFrog Arti...

07月02日20 views评论

安全文章

Zip Slip 是一种广泛存在的严重存档提取漏洞，允许攻击者在系统上写入任意文件，通常会导致远程命令执行。该漏洞由 Snyk Security 团队在 2018 年 6 月 5 日公开披露之前发现并...

06月08日38 views评论

安全漏洞

0x00 漏洞编号CVE-2023-482990x01 危险等级中危0x02 漏洞概述TorchServe是一个开源的模型服务器，旨在简化将PyTorch模型部署到生产环境中的过程。它提供了一组易于使...

11月28日28 views评论

安全漏洞

OpenRefine Zip Slip 漏洞：简介 OpenRefine是一个基于Java的开源数据清理和转换工具。这包括加载不同类型的数据、清理、转换和扩展。所有这些都可以通过浏览器访问 OpenR...

09月30日69 views评论

安全文章

前言Zip Slip的漏洞成因非常简单，这个漏洞绑定的业务功能点：上传压缩包文件，后端解压压缩包保存其中的文件到服务器本地。漏洞成因：待上传的压缩包中可以构造条目名，后端保存文件的时候，常常将条目名提...

02月01日75 views评论

安全文章

CTF挑战靶机是来自hackthebox的“Ghoul”，hackthebox是一个非常不错的在线实验平台。Masscan扫描出目标存在22，80，8080，2222端口用nmap -a参数扫出更详细...

09月16日55 views评论