最新 最热

开源推动了默默无闻安全性的衰落

网络安全支出持续上升,但泄密事件的数量也在上升。问题是:如果组织正在实施更多的网络安全实践,为什么攻击的数量还在上升?

2024-09-10
6

初识SQL注入

将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。...

2024-09-10
4

【产品那些事】什么是软件成分分析(SCA)?

在现代软件开发环境中,开发团队经常会依赖于开源的第三方组件来节省时间和提高效率。这些组件本身是由开源社区(Github、Gitee)贡献者来开发,然而,这也带来了一些潜在的安全风险,特别是涉及到供应链安全(这些组件的开发者...

2024-09-09
4

WEB安全基础(下)

本文主要介绍WEB客户端一些漏洞类型,漏洞产生的原因、有哪些危害、可能产生漏洞的场景,如何防范。后面会有对应的文章对应具体漏洞类型展开详细说明,提供靶场实战演练,主要用于理解挖掘漏洞的思路。...

2024-09-03
4

Apache Solr 任意文件读取漏洞(poc编写 )

Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文件

2024-09-02
4

记一次代码审计之反序列化漏洞

这个文件是install.php 必定是安装文件, 安装之后就不会再安装,所以一定要去确定是否可以运行到对应的审计点。

2024-08-29
6

DouPHP(CVE-2024-7917、代码分析xss)漏洞复现

介绍:DouPHP 1.7_Release_20220822版本中存在一个远程代码执行(RCE)漏洞。拥有管理员权限的攻击者可以通过该漏洞在服务器上执行任意命令。漏洞通过上传恶意ico文件、修改文件扩展名来执行PHP代码...

2024-08-29
7

burpsuite常用插件总结

主要是在主动扫描和被动扫描时,为了增强扫描漏洞效果,使用python编写的,所以要加载python 环境

2024-08-29
5

CVE-2024-38063|Windows TCP/IP远程代码执行漏洞

TCP/IP(传输控制协议/互联网协议)是一种核心的网络通信协议,它对于设备之间的网络通信至关重要。如果网络适配器没有启用TCP/IP服务,将无法正常连接到网络。...

2024-08-27
3

CVE-2024-39397|Magento Open Source文件上传远程代码执行漏洞

Magento Open Source 是一款由 Adobe 支持的强大的开源电子商务平台,它为开发者和商家提供了一个构建独特在线商店的基础框架。虽然对于寻求全方位电商解决方案的用户,Adobe Commerce是更全面的选择,但Magento Open Sour...

2024-08-27
6