true - 第 8 | CN-SEC 中文网

HW&HVV

【2022护网情报更新】护网最新漏洞曝光，含POC

声明以下POC不保证百分百能用，禁止用于非法用途，仅供学习使用！1、深信服VPN任意用户添加漏洞漏洞等级：严重，0day漏洞影响范围：未知漏洞详情：用户管理接口的权限控制出现漏洞，攻击者可任意添加用户...

07月30日1,976 views评论

阅读全文

安全文章

api漏洞系列-一个越权漏洞

前言声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。主要逻辑 Fabric平台帮助你构建...

07月26日58 views评论

阅读全文

安全文章

CVE-2022-33891漏洞复现

简介Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API，以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具，包括...

07月25日110 views评论

阅读全文

安全文章

使用tabby分析Spring Data MongoDB SpEL漏洞

最近学习了一款非常优秀的Java语言静态代码分析工具：tabby。正好近期出了个Spring Data MongoDB的SpEL表达式注入。便想着使用tabby对这个组件进行分析，一来熟悉熟悉tabb...

07月06日433 views评论

阅读全文

安全工具

Yakit工具下的检测跨域攻击示例

网安引领时代，弥天点亮未来 0x00故事是这样的1.Yakit是基于Yak语言开发的网络安全单兵工具，旨在打造一个覆盖渗透测试全流程的网络安全工具库，已经...

06月20日192 views评论

阅读全文

安全文章

fastjson 1.2.80版本反序列化漏洞：POC代码及规避方案（20220523）

01漏洞描述fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议fastjson用户尽快采取安全措施保障系...

06月02日929 views评论

阅读全文

安全文章

Tomcat通用回显的坑

扫一扫关注公众号，长期致力于安全研究0x01 前言本文主要讲解Tomcat通用回显中遇到的一些小问题0x02 代码分析全部代码如下，调用链在下方。不做过多讲解。WebappClassLoaderBas...

05月26日34 views评论

阅读全文

安全文章

靶机实战-vuluhub系列-Hack djinn:1 : walkthrough

下载地址https://www.vulnhub.com/entry/djinn-1,397/环境搭建VirtualBox靶机Hack djinn:1 : walkthrough：192.168.56....

05月24日162 views评论

阅读全文

安全文章

绿盟UTS综合威胁探针系统管理员任意登录漏洞复现

漏洞危害管理员账号任意登录漏洞复现首先来到登录页面，输入账号密码随意。修改返回包false改为true这时返回包会泄露管理员admin密码的md5值利用admin+密码的md5值去登陆即可原文始发于...

05月24日296 views评论

阅读全文

安全文章

CVE-2019-0232漏洞原理和复现

CVE-2019-0232为Apache Tomcat RCE漏洞原理漏洞相关的代码在 tomcatjavaorgapachecatalinaservletsCGIServlet.java 中，CGI...

05月23日298 views评论

阅读全文

java写入文件的几种方法

FileWritter, 字符流写入字符到文件。默认情况下，它会使用新的内容取代所有现有的内容，然而，当指定一个true （布尔）值作为FileWritter构造函数的第二个参数，它会保留现有的内容，...

05月23日安全文章29 views已关闭评论

阅读全文

安全文章

ATT&CK-st005漏洞之漏洞分析与利用

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

05月19日52 views评论

阅读全文

【2022护网情报更新】护网最新漏洞曝光，含POC

api漏洞系列-一个越权漏洞

CVE-2022-33891漏洞复现

使用tabby分析Spring Data MongoDB SpEL漏洞

Yakit工具下的检测跨域攻击示例

fastjson 1.2.80版本反序列化漏洞：POC代码及规避方案（20220523）

Tomcat通用回显的坑

靶机实战-vuluhub系列-Hack djinn:1 : walkthrough

绿盟UTS综合威胁探针系统管理员任意登录漏洞复现

CVE-2019-0232漏洞原理和复现

java写入文件的几种方法

ATT&CK-st005漏洞之漏洞分析与利用

在线咨询

微信