true | CN-SEC 中文网

安全漏洞

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

漏洞概述2024年5月，Nexus Repository官方Sonatype发布了新补丁，修复了一处路径穿越漏洞CVE-2024-4956。经分析，该漏洞可以通过特定的路径请求来未授权访问系统文件，进...

06月11日77 views评论

阅读全文

安全开发

浅谈GraphQL API安全测试

GraphQL 是什么？GraphQL 是一种用于 API（应用程序编程接口）的查询语言，以及一个用于执行这些查询的服务器端运行时系统。它由 Facebook 于 2012 年开发并于 2015 年开...

06月05日13 views评论

阅读全文

IoT工控物联网

【车联网】车载安卓应用攻击-自动化安全配置检查

前言昨天晚上和甲方A的开发同学对了安卓应用需求的代码修改点，今天和甲方B的开发进行安全需求评审，经过这两天的接触，发现很多甲方安全同学对常用的安卓应用的安全检查项的细节并不是很了解，这里总结下常见的安...

05月31日11 views评论

阅读全文

安全文章

【实战】某友文件上传漏洞分析

某友，不（敢）多说。本文对前段时间热传的文件上传漏洞的成因做简单的分析（要是没看过，当我没说）。代码分析常规操作把源码导入idea 将对应lib下的jar文件添加为库简单过一下web.xml，...

05月29日32 views评论

阅读全文

安全漏洞

漏洞预警 | Gradio任意文件读取漏洞

0x00 漏洞编号CVE-2024-15610x01 危险等级高危0x02 漏洞概述Gradio是一个用于创建机器学习模型交互式界面的Python库。它可以帮助用户快速地为模型构建一个可视化的、易于使...

05月24日24 views评论

阅读全文

安全文章

如何过cloudflare五秒盾反爬

提示！本文章仅供学习交流，严禁用于非法用途，文章如有不当可联系本人删除！目录：一、Cloudflare之5秒盾是什么二、如何判断该网站有Cloudflare 5秒盾...

05月21日186 views评论

阅读全文

安全文章

Fuzzing在Java漏洞挖掘中的应用

前段时间 ecology 密集发布了一系列补丁，修复几个笔者之前储备的 0day，本文就来介绍其中一个列比较有意思的，以及分享一下相关的挖掘思路。背景最近几个月笔者都在研究 Java Web 方向，一...

05月19日12 views评论

阅读全文

安全文章

记一次曲折的exchange漏洞利用-ProxyMaybeShell

记一次曲折的exchange漏洞利用-ProxyMaybeShell这两年几乎每隔一段时间exchange都会出现一些高危漏洞，这些漏洞基本分为两类，一类是ssrf导致的安全问题，一类是后台的反序列化...

05月19日73 views评论

阅读全文

CTF专场

第二届陇剑杯决赛Misc-Win

win@Name : win@Game : 2023 第二届陇剑杯决赛@Time : 2023/9/16 @Type : Misc@Description：1. 小明在一台电脑中获取了一个虚拟机文件以...

05月14日19 views评论

阅读全文

代码审计

SpringBoot审计基础知识

免责声明道一安全（本公众号）的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入...

05月14日15 views评论

阅读全文

安全闲碎

Kubernetes 配置热更新之reloader

背景配置中心问题：对于在云原生中配置中心，例如configmap和secret对象，虽然可以进行直接更新资源对象对于引用这些有些不变的配置是可以打包到镜像中的，那可变的配置呢？信息泄漏，很容易引发安全...

05月13日9 views评论

阅读全文

安全工具

全自动化信息收集工具—JWS-CLI

前言信息收集是渗透测试中最重要的一环，也是最繁琐和机械化的一环。jws-cli 是一款基于python的可拓展、可定制化的一键信息收集工具，适用于辅助测试人员在攻防演练和SRC项目场景下进行快速信息收...

05月13日47 views评论

阅读全文

CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析

浅谈GraphQL API安全测试

【车联网】车载安卓应用攻击-自动化安全配置检查

【实战】某友文件上传漏洞分析

漏洞预警 | Gradio任意文件读取漏洞

如何过cloudflare五秒盾反爬

Fuzzing在Java漏洞挖掘中的应用

记一次曲折的exchange漏洞利用-ProxyMaybeShell

第二届陇剑杯决赛Misc-Win

SpringBoot审计基础知识

Kubernetes 配置热更新之reloader

全自动化信息收集工具—JWS-CLI

在线咨询

微信