ssrf - 第 20 | CN-SEC 中文网

安全新闻

网安简报【2024/6/16】

2024-06-16 微信公众号精选安全技术文章总览洞见网安 2024-06-16 0x1 【代码审计】RBAC权限管理系统-SQL注入漏洞安全攻防屋 2024-06-16 21:54:44 RBAC...

06月17日109 views评论

阅读全文

安全新闻

CVE-2024-21893影响Ivanti产品

CVE-2024-21893漏洞在Ivanti Connect Secure、Ivanti Policy Secure及Ivanti Neurons for ZTA产品中的一个严重服务器端请求伪造（S...

06月17日21 views评论

阅读全文

CTF专场

CTFHub技能树通关教程——SSRF漏洞原理攻击与防御（一）(超详细总结)

CTFHub技能树通关教程——SSRF漏洞原理攻击与防御（一）(超详细总结)什么是SSRF？即服务器端请求伪造（Server-Side Request Forgery），是一种网络攻击技术，攻击者利用...

06月16日44 views评论

阅读全文

node-ip SSRF CVE-2024-29415

漏洞描述： CVE-2023-42282中描述的问题在v2.0.1和v1.1.9中没有完全修复。isPublic()函数仍然将一些私有IP地址标识为公共的。如果使用isPublic() / isPri...

06月09日安全漏洞115 views评论

阅读全文

安全文章

实战:发现SSRF、子域接管以及XSS之旅

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay...

06月09日37 views评论

阅读全文

安全文章

‘黑掉’NASA：SSRF、子域接管以及XSS

06月03日25 views评论

阅读全文

安全新闻

PhantomJS 图像渲染中的 XSS 漏洞升级为 SSRF/本地文件读取漏洞

我最近偶然发现了一个赏金计划的请求，该计划接受用户输入并生成一张图片供您下载。经过一番探索，我能够从图片内部的 XSS 升级到服务器上的任意本地文件读取。这是一个私人计划，所以我会尽我所能尽可能多地隐...

05月30日20 views评论

阅读全文

代码审计

教育行业hw某系统代码审计

fofa目标挺多的都是各大高校。rce点1，该系统引入了帆软。有帆软漏洞的可以以此为入口打。漏洞点2存在ueditor该版本是存在ssrf的rce点3，可以很明显的看到sql注入使用+拼接了从前端转递...

05月30日35 views评论

阅读全文

LangChain 开源框架 JS 任意文件读取漏洞

供应商：LangChain 供应商网址：https://github.com/langchain-ai/langchainjs 受影响的版本： LangChain JS 0.2.2 LangChain...

05月27日安全漏洞36 views评论

阅读全文

安全文章

SSRF骚思路

0x01 前言 SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞原因是由于服务端提供了从其他服务器应用获...

05月27日18 views评论

阅读全文

安全文章

三个src挖案例

逛了一下补天的专属src，找了看起来好欺负的练练手，提交了三个漏洞，两个ssrf,一个未授权，结果就通过了一个，果然是好欺负的！！！。一个ssrf重复，未授权的资产偏了，最戏剧性的是周五的时候目标还没...

05月21日28 views评论

阅读全文

安全文章

OSS任意文件上传的小技巧|挖洞技巧

0x01 前言在日常挖SRC还有渗透时，很多时候我们可能会遇到一个情况，发现一个上传点可以上传文件但是不能解析！文件传到OSS去了。到这里可能有的师傅就已经开始离开这伤心站点了虽然文件上传到OSS危害...

05月21日73 views评论

阅读全文

在线咨询

微信