腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Timeline Sec

专栏作者

205

文章

352783

阅读量

44

订阅数

CVE-2024-24747：MINIO权限提升漏洞

容器漏洞配置权限网络

MinIO 是一种高性能、Amason的S3分布式对象存储。专为大规模AI/ML、数据和数据库工作负载而构建，并且它是由软件定义的存储。

2024-04-11

880

CVE-2024-29201&29202：JumpServer后台RCE漏洞

测试后台漏洞系统容器

JumpServer 是广受欢迎的开源堡垒机，是符合 4A 规范的专业运维安全审计系统。

2024-04-11

2380

CVE-2023-22527：Confluence远程代码执行漏洞

漏洞数据库安全 confluence 管理

Atlassian Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。

2024-04-11

960

CVE-2024-21893：Ivanti Connect Secure SSRF to RCE

数据系统 connect 漏洞路由

Ivanti Connect Secure 为远程和移动用户提供了一个无缝的、具有成本效益的SSL VPN 解决方案，使他们能随时随地从任何可上网的设备访问企业资源。

2024-03-26

1580

SRC案例 | 未知密钥测试思路小Tip

测试接口搜索微信 src

挖掘SRC的时候，可能大家都碰到过一些appid和appsecret泄露的情况，像企微的密钥直接在官方平台填入获取凭证然后通过接口进行调用即可

2024-03-06

1030

SRC案例 | 某公司小程序四个漏洞挖掘过程

微信小程序 src 漏洞数据

好不容易才抽点时间学习一下渗透，补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集，所以这次直接瞄准小程序开搞。

2024-02-27

3080

攻防技术 | Resin内存马与回显姿势

filter 对象反射内存 com

Resin 是 CAUCHO 公司（http://www.caucho.com/）的产品，是一个非常流行的支持 servlets 和 jsp 的引擎，速度非常快。Resin 本身包含了一个支持 HTTP/1.1 的 WEB 服务器。虽然它可以显示动态内容，但是它显示静态内容的能力也非常强，速度直逼 APACHE SERVER

2024-02-06

1080

CVE-2023-51467：Apache OFBiz未授权RCE漏洞分析

权限 apache 后台漏洞路由

Apache OFBiz 是一个用于企业流程自动化的开源产品。它包括 ERP、CRM、电子商务/电子商务、供应链管理和制造资源规划的框架组件和业务应用程序。OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。

2024-01-23

5500

剖析Dongtai IAST的实现

对象漏洞数据数据类型字符串

IAST有主动式的与被动式的，典型的开源代码分别有OpenRASP与Dongtai IAST，通常认为被动式的优势在于不产生脏数据，不干扰业务方的工作，可部署于测试环境。笔者最近一周弄清楚了dongtai iast的实现，虽然代码没有注释且有点乱，但渐入佳境后就感觉还好，以此文作为对此的学习记录。

2024-01-02

1540

QVD-2023-45061：I Doc View在线文档预览系统RCE漏洞

安全 view 服务器漏洞系统

I Doc View 在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统。主要为用户提供各种类型的文档文件的在线预览，而无需下载或安装相应的软件。

2024-01-02

4900

CVE-2023-25157：GeoServer OGC Filter SQL注入漏洞

sql filter geoserver 漏洞配置

GeoServer是OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作，通过 GeoServer 可以比较容易的在用户之间迅速共享空间地理信息。

2023-12-19

8820

CVE-2023-41892：Craft CMS远程代码执行漏洞

cms 对象函数漏洞数组

Craft CMS是一个开源的内容管理系统，它专注于用户友好的内容创建过程，逻辑清晰明了，是一个高度自由，高度自定义设计的平台吗，可以用来创建个人或企业网站也可以搭建企业级电子商务系统。

2023-11-30

1.2K0

CVE-2023-46747：F5 BIG-IP远程代码执行漏洞

ip 后台教程漏洞配置

F5 BIG-IP是一款由F5 Networks开发的高级应用交付和负载均衡解决方案，用于优化和保护企业应用程序的可用性、性能和安全性。它提供负载均衡、应用性能优化、安全性、高可用性和可扩展性等关键功能，以确保应用程序的稳定运行，满足各种业务需求。

2023-11-14

1K2

CVE-2023-42820：JumpServer密码重置漏洞

企业开源运维验证码漏洞

JumpServer开源堡垒机是一款运维安全审计系统产品，提供身份验证、授权控制、账号管理、安全审计等功能支持，帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机通过企业版或者软硬件一体机的方式，向企业级用户交付开源增值的运维安全审计解决方案。

2023-11-13

1.4K0

金蝶云星空管理中心反序列化RCE漏洞

企业安全漏洞配置序列化

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织，多利润中心的大中型企业，以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖：财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务，帮助企业实现数字化营销新生态及管理重构等，提升企业数字化能力。

2023-11-01

6300

CVE-2023-22515：Confluence权限提升漏洞

confluence 漏洞路由权限软件

Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。

2023-11-01

7710

记一次Smanga RCE漏洞挖掘（CVE-2023-36078）

数据库 select 函数漏洞压缩

记录一次本人CVE漏洞挖掘的过程，此漏洞已被分配编号：CVE-2023-36078

2023-10-25

3390

CVE-2023-42442：JumpServer未授权访问漏洞

企业开源运维堡垒机漏洞

JumpServer开源堡垒机是一款运维安全审计系统产品，提供身份验证、授权控制、账号管理、安全审计等功能支持，帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机通过企业版或者软硬件一体机的方式，向企业级用户交付开源增值的运维安全审计解决方案。

2023-09-29

8660

CVE-2023-38831：WinRAR远程代码执行漏洞

打包 sys 脚本漏洞压缩

WinRAR是一款文件压缩器。该产品支持RAR、ZIP等格式文件的压缩和解压等。WinRAR 在处理压缩包内同名的文件与文件夹时代码执行漏洞，攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件，诱导受害者打开此文件后，将在受害者机器上执行任意代码。

2023-09-26

5230

CVE-2023-32315：Openfire身份认证绕过漏洞

openfire 登录管理后台漏洞

Openfire 是根据开放源 Apache 许可获得许可的实时协作（RTC）服务器，它使用唯一被广泛采用的用于即时消息的开放协议 XMPP（也称为 Jabber）。

2023-09-20

1.1K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态