首页
学习
活动
专区
工具
TVP
发布

Timeline Sec

专栏成员
215
文章
417093
阅读量
44
订阅数
CVE-2024-20931:Weblogic JNDI注入远程命令执行漏洞
WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
Timeline Sec
2024-07-16
3940
CVE-2024-21683:Confluence远程代码执行漏洞
Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容,从而有效地管理项目知识和信息。Confluence 还集成了多种宏和插件,如日程表、任务列表和Jira集成。
Timeline Sec
2024-07-15
2970
XXL-JOB默认accessToken身份认证绕过RCE
XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限。
Timeline Sec
2024-07-15
2240
CVE-2024-29824:Ivanti EPM SQL注入漏洞
Ivanti Endpoint Manager (EPM) 是一款由 Ivanti 公司开发的综合性端点管理解决方案。它旨在帮助企业有效管理和保护其网络中的所有端点设备,包括桌面、笔记本电脑、服务器、移动设备和虚拟环境。
Timeline Sec
2024-06-21
3980
CVE-2023-42793:TeamCity认证绕过RCE漏洞
TeamCity是一款功能强大的持续集成(Continue Integration)工具,包括服务器端和客户端,支持Java,.NET项目开发。
Timeline Sec
2024-06-18
1750
CVE-2024-23917:TeamCity认证绕过RCE漏洞
TeamCity是一款功能强大的持续集成(Continue Integration)工具,包括服务器端和客户端,支持Java,.NET项目开发。
Timeline Sec
2024-06-18
2170
RuoYi 4.7.8 执行任意SQL语句导致RCE漏洞
RuoYi 是一个后台管理系统,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量。
Timeline Sec
2024-05-29
1.9K0
QVD-2024-15263:禅道身份认证绕过漏洞
禅道由禅道软件(青岛)有限公司开发,国产开源项目管理软件。它集项目集管理、产品管理、项目管理、质量管理、DevOps、知识库、BI效能、工作流、学堂、反馈管理、组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整覆盖了研发项目管理的核心流程。
Timeline Sec
2024-05-11
8920
kkFileView文件上传导致远程代码执行漏洞
Keking kkFileView是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。
Timeline Sec
2024-04-30
3K0
Secx专访丨擅长入侵类漏洞挖掘,成功获得百万赏金!
大家好,我是Secx,深耕网络安全领域多年,目前在某互联网大厂从事安全研究工作。同时,我也是知名安全团队Timeline Sec SRC组技术负责人,以专业的技术和敏锐的洞察力,为团队的安全防御提供了坚实的支撑。
Timeline Sec
2024-04-25
3310
CVE-2024-24747:MINIO权限提升漏洞
MinIO 是一种高性能、Amason的S3分布式对象存储。专为大规模AI/ML、数据和数据库工作负载而构建,并且它是由软件定义的存储。
Timeline Sec
2024-04-11
2K0
CVE-2024-29201&29202:JumpServer后台RCE漏洞
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。
Timeline Sec
2024-04-11
1.5K0
CVE-2023-22527:Confluence远程代码执行漏洞
Atlassian Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
Timeline Sec
2024-04-11
2770
CVE-2024-21893:Ivanti Connect Secure SSRF to RCE
Ivanti Connect Secure 为远程和移动用户提供了一个无缝的、具有成本效益的SSL VPN 解决方案,使他们能随时随地从任何可上网的设备访问企业资源。
Timeline Sec
2024-03-26
6070
SRC案例 | 未知密钥测试思路小Tip
挖掘SRC的时候,可能大家都碰到过一些appid和appsecret泄露的情况,像企微的密钥直接在官方平台填入获取凭证然后通过接口进行调用即可
Timeline Sec
2024-03-06
2670
SRC案例 | 某公司小程序四个漏洞挖掘过程
好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。
Timeline Sec
2024-02-27
1.6K0
攻防技术 | Resin内存马与回显姿势
Resin 是 CAUCHO 公司(http://www.caucho.com/)的产品,是一个非常流行的支持 servlets 和 jsp 的引擎,速度非常快。Resin 本身包含了一个支持 HTTP/1.1 的 WEB 服务器。虽然它可以显示动态内容,但是它显示静态内容的能力也非常强,速度直逼 APACHE SERVER
Timeline Sec
2024-02-06
2300
CVE-2023-51467:Apache OFBiz未授权RCE漏洞分析
Apache OFBiz 是一个用于企业流程自动化的开源产品。它包括 ERP、CRM、电子商务/电子商务、供应链管理和制造资源规划的框架组件和业务应用程序。OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。
Timeline Sec
2024-01-23
9800
剖析Dongtai IAST的实现
IAST有主动式的与被动式的,典型的开源代码分别有OpenRASP与Dongtai IAST,通常认为被动式的优势在于不产生脏数据,不干扰业务方的工作,可部署于测试环境。笔者最近一周弄清楚了dongtai iast的实现,虽然代码没有注释且有点乱,但渐入佳境后就感觉还好,以此文作为对此的学习记录。
Timeline Sec
2024-01-02
2520
QVD-2023-45061:I Doc View在线文档预览系统RCE漏洞
I Doc View 在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统。主要为用户提供各种类型的文档文件的在线预览,而无需下载或安装相应的软件。
Timeline Sec
2024-01-02
1.1K0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档