yaml - 第 3 | CN-SEC 中文网

安全新闻

Nuclei 漏洞允许绕过签名并执行代码

一个高危安全漏洞，追踪为 CVE-2024-43405（CVSS 评分为 7.4），存在于开源漏洞扫描器 ProjectDiscovery 的 Nuclei 中，可能允许攻击者绕过签名检查并执行恶意代...

01月07日13 views评论

阅读全文

安全工具

超级好用的命令管理工具(gm-note)

0x01 项目介绍GM-Note 是一个使用 Go 语言的 Wails 框架和 Vue3 开发的跨平台命令管理工具。它具有以下特点：支持命令分类管理支持命令变量替换支持命令搜索支持多主题切换支持命令...

01月06日7 views评论

阅读全文

安全工具

Blackdagger：一款针对DevSecOps的工作流自动化工具

关于Blackdagger Blackdagger是一款基于DAG的工作流自动化工具，旨在为协调 DevOps、DevSecOps、MLOps、MLSecOps 和持续自动红队 (CART) 环境中的...

12月28日12 views评论

阅读全文

安全工具

一款自动化授权测试工具

工具介绍 Authz0是一款自动化授权测试工具，可以根据URL和角色与凭证识别未经授权的访问。URL和角色作为基于YAML的模板进行管理，可以通过authz0自动创建和添加。您还可以使用一次创建/生成...

12月24日22 views评论

阅读全文

代码审计

JAVA代审-RuoYi4.6.0

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

12月20日16 views评论

阅读全文

安全工具

【红队】一款自动化代码审计工具

工具介绍 Code-audit是一款使用python开发的自动化代码审计工具，支持GTP代码审计、危险函数搜索、全局关键字搜索等。工具使用yaml规则工具使用导入YAMl规则后，直接导入源码进行扫...

12月09日43 views评论

阅读全文

安全漏洞

clash_for_windows_pkg 远程代码执行漏洞复现

概述Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导...

12月05日51 views评论

阅读全文

安全工具

一款在线的免杀平台

https://github.com/yutianqaq/AVEvasionCraftOnline sudo apt update image-20241130005838400 sud...

12月03日22 views评论

阅读全文

安全工具

如何使用Kubesec执行Kubernetes资源安全风险分析

关于KubesecKubesec是一款针对Kubernetes的安全工具，在该工具的帮助下，广大研究人员可以轻松执行Kubernetes资源安全风险分析任务。工具要求Golang 工具安装源码获取...

11月28日10 views评论

阅读全文

安全工具

Nuclei 图形化yaml模板生成工具(自编写)

下载地址： https://github.com/Magareally/Gui-Nulcie-Templates-Generator 原文始发于微信公众号（星期天不睡懒觉）：Nuclei 图形化yam...

11月25日28 views评论

阅读全文

代码审计

Yaml反序列化漏洞原理与实践

SnakeYaml序列化与反序列化SnakeYaml是用来解析yaml的格式，可用于Java对象的序列化、反序列化。此漏洞起因是错误使用了序列化方法，并且反序列化了不可信的数据，故理论上SnakeYa...

11月24日19 views评论

阅读全文

代码审计

PyYAML反序列化深入刨析

基础知识Yaml简介YAML是一种直观的能够被电脑识别的的数据序列化格式，容易被人类阅读，并且容易和脚本语言交互，YAML类似于XML，但是语法比XML简单得多，对于转化成数组或可以hash的数据时是...

11月21日17 views评论

阅读全文

在线咨询

微信