腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
网络安全攻防
未知攻,嫣知防,以攻促防,共筑安全
专栏作者
举报
334
文章
346318
阅读量
46
订阅数
订阅专栏
申请加入专栏
全部文章(334)
安全(102)
网络安全(97)
https(63)
区块链(46)
windows(29)
漏洞(29)
数据(24)
github(23)
编程算法(22)
权限(21)
网站(20)
实践(20)
系统(19)
网络(17)
http(15)
shell(15)
tcp/ip(15)
php(14)
容器镜像服务(14)
容器(14)
安全漏洞(14)
连接(14)
java(13)
sdl(13)
服务器(13)
数据库(12)
git(12)
渗透测试(12)
文件存储(11)
腾讯云测试服务(11)
存储(11)
工具(11)
信息安全(11)
sql(10)
linux(10)
powershell(10)
协议(10)
开源(9)
wireshark(9)
登录(9)
加密(9)
api(8)
企业(8)
主机(8)
打包(7)
容器服务(7)
jdk(7)
测试(7)
对象(7)
服务(7)
命令行工具(6)
管理(6)
后端(6)
后台(6)
软件(6)
以太坊(6)
windows server(5)
apache(5)
网站渗透测试(5)
程序(5)
集群(5)
客户端(5)
比特币(4)
python(4)
go(4)
html(4)
缓存(4)
面向对象编程(4)
dns(4)
ftp(4)
rpc(4)
框架(4)
浏览器(4)
命令行(4)
配置(4)
苹果(4)
日志(4)
设计(4)
搜索(4)
云存储(4)
xml(3)
android(3)
云数据库 SQL Server(3)
oracle(3)
access(3)
搜索引擎(3)
kernel(3)
office(3)
server(3)
编码(3)
产品(3)
代理(3)
工作(3)
接口(3)
镜像(3)
开发(3)
前端(3)
算法(3)
同步(3)
域名(3)
智能合约(3)
云镜(主机安全)(2)
c++(2)
c#(2)
node.js(2)
ide(2)
struts(2)
ubuntu(2)
SSL 证书(2)
数据加密服务(2)
黑客(2)
ssh(2)
iis(2)
kerberos(2)
微信(2)
数据结构(2)
腾讯云开发者社区(2)
安全培训(2)
Elasticsearch Service(2)
dashboard(2)
default(2)
dll(2)
tcp(2)
备份(2)
编辑器(2)
部署(2)
插件(2)
磁盘(2)
反射(2)
服务端(2)
函数(2)
环境搭建(2)
基础(2)
计算机(2)
加密算法(2)
脚本(2)
开发者(2)
流量(2)
模型(2)
日志分析(2)
异常(2)
隐私(2)
原理(2)
终端(2)
对象存储(1)
DNS 解析 DNSPod(1)
其他(1)
数字货币(1)
ios(1)
bash(1)
.net(1)
json(1)
jar(1)
lucene/solr(1)
unix(1)
centos(1)
nginx(1)
bash 指令(1)
spring(1)
批量计算(1)
访问管理(1)
NAT 网关(1)
云推荐引擎(1)
人工智能(1)
渲染(1)
数据安全(1)
express(1)
svg(1)
sass(1)
webpack(1)
xslt & xpath(1)
游戏(1)
分布式(1)
gui(1)
sql server(1)
spring boot(1)
cdn(1)
flash(1)
markdown(1)
sas(1)
nat(1)
云计算(1)
任务调度(1)
虚拟化(1)
ipv6(1)
白盒测试(1)
云桌面(1)
验证码(1)
渗透测试服务(1)
漏洞扫描服务(1)
acl(1)
agent(1)
aws(1)
bat(1)
block(1)
chatgpt(1)
com(1)
config(1)
csv(1)
ctf(1)
fastjson(1)
file(1)
firefox(1)
hash(1)
image(1)
ioc(1)
jackson(1)
joomla(1)
jwt(1)
module(1)
nacos(1)
nebula(1)
pdf(1)
popen(1)
proxy(1)
return(1)
rsync(1)
shortcut(1)
swagger(1)
tcpdump(1)
txt(1)
version(1)
web(1)
wifi(1)
版本控制(1)
编译(1)
编译器(1)
博客(1)
技巧(1)
即时通讯(1)
架构(1)
监控(1)
建站(1)
排序(1)
视频(1)
事务(1)
腾讯(1)
文件上传(1)
序列化(1)
需求分析(1)
学习笔记(1)
研发(1)
硬件(1)
用户体验(1)
远程桌面(1)
源码(1)
云安全(1)
云服务(1)
云主机(1)
重定向(1)
字符串(1)
安全测试(1)
安全审计(1)
搜索文章
搜索
搜索
关闭
CVE-2020-17530:Struts OGNL表达式解析漏洞分析
安全漏洞
信息安全
Struts2会对某些标签属性(比如:'id')的属性值进行二次表达式解析,因此当这些标签属性中使用了'%{x}'且'x'的值用户可控时,用户再传入一个'%{payload}'即可造成OGNL表达式执行,S2-061是对S2-059沙盒进行的绕过,S2-059的修复补丁仅修复了沙盒绕过,但是并没有修复OGNL表达式的执行,直到最新版本2.5.26版本中OGNL表达式的执行才得以修复
Al1ex
2023-12-14
194
0
【SDL实践指南】Foritify使用介绍速览
安全
安全漏洞
sdl
软件
实践
Fottify全名叫Fortify Source Code Analysis Suite,它是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件,该软件多次荣获全球著名的软件安全大奖,包括InforWord, Jolt,SC Magazine,目前众多世界级的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率,监视和
Al1ex
2023-03-29
1.8K
0
【SDL实践指南】SDL基本介绍
安全
安全培训
安全漏洞
传统的软件开发生命周期关注核心点在于需求分析、需求设计和需求编码实现,但是事实证明只注重软件业务功能设计实现而缺乏对产品安全考量的产品终将会为此而付出惨痛的代价,例如:因为缺乏对安全相关法律法规的了解,在产品业务功能实现中过度采集用户个人数据信息并将其进行滥用和不安全的存储而带来的法律追责问题和应用产品强制下架整改;因为产品发版后被攻击者恶意攻击造成系统无法正常使用而被迫强制下线进行漏洞修复等,为了规避产品上线后由于潜在的安全问题而带来的经济损失以及时间成本等问题SDL应运而生。
Al1ex
2023-03-07
1.5K
0
OWASP BlockChain Sec Top 10
游戏
访问管理
安全漏洞
近几年区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达35亿美元,很多公司甚至因此倒闭,给行业带来了巨额的经济损失和惨痛的教训,基于此OWASP中国成立专门研究小组,收集、整理和分析了2011年至2019年间共160个典型区块链安全事件,并在本文档中给出了排列和描述,希望能帮助到广大的区块链从业者和关注区块链安全的人们
Al1ex
2022-12-22
959
0
2021 OWASP TOP 10
数据库
云镜(主机安全)
安全
安全漏洞
网络安全
2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动,我们从公开收集的数据中选定了8个类别,之后又从Top 10社区调查结果中选择了2个高级别的类别,组成了10个类别。我们这样做是为了一个根本原因——通过查看收集到的数据来回顾过去。因为应用安全研究人员寻找新的漏洞和测试它们的新方法需要时间,将这些测试集成到工具和流程中也需要时间,当我们能够可靠地大规模测试弱点时,可能已经过去了很长时间,为了平衡这种观点,我们使用社区调查来向一线应用程序安全和开发专家征求意见,询问他们认为数据可能尚未体现出来的、极其重要的弱点。
Al1ex
2022-12-22
1.5K
0
S2-059_RCE_CVE-2019-0230
struts
安全漏洞
安全
express
apache
2020年12月8日,Apache官方发布安全公告称Apache Struts2修复了一处ONGL表达式执行的安全漏洞(S2-061),据相关安全人员披露该漏洞是对S2-059沙盒的绕过,由于之前没有对S2-059进行过细致的分析又对S2-061产生了兴趣,所以就先有了本篇文章。
Al1ex
2021-07-21
443
0
CVE-2021-3493:Ubuntu OverLayFS提权
安全漏洞
网络安全
Ubuntu的一个具体问题是在Linux内核中的overlayfs文件系统,它没有正确地验证文件系统功能在用户名称空间方面的应用,由于Ubuntu中的一个补丁允许非特权的overlayfs挂载,本地攻击者可以利用它来获得更高的权限。
Al1ex
2021-04-22
532
0
CVE-2021-27928:MariaDB/MySQL-wsrep provider命令注入
安全漏洞
2021年3月17号,MariaDB官方发布的安全通告中修复了一处命令注入漏洞,具备数据库超级用户可以在修改wsrep_provider和wsrep_notify_cmd后执行OS命令。
Al1ex
2021-04-16
2.4K
0
CVE-2020-36189:Jackson-databind SSRF&RCE
安全漏洞
com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成SSRF&RCE。
Al1ex
2021-04-01
1K
0
CVE-2020-36186:jackson-databind RCE
安全漏洞
org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
Al1ex
2021-04-01
1.2K
0
CVE-2021-21975:vRealize Operations Manager SSRF
安全漏洞
2021年3月31日,VMWare官方发布了VMSA-2021-0004的风险通告,漏洞编号为CVE-2021-21975,CVE-2021-21983,漏洞等级:高危,漏洞评分8.6。
Al1ex
2021-04-01
1.1K
0
系统内核溢出提权
安全漏洞
在后渗透测试阶段,权限提升是一个绕不开的话题,其中"系统内核溢出提权"因其利用便捷成为了最为常用的方法,在使用该方法提权时我们只需要去查看目标系统中打了那些系统补丁,之后去找补丁的"互补"补丁,并利用对应的提权类的漏洞实现权限提升,本篇文章主要围绕"系统内核溢出提权"的一些方法、思路进行简易介绍~
Al1ex
2021-03-29
1.5K
0
CVE-2021-1732:Windows Win32k提权
安全漏洞
Windows Server, version 20H2 (Server Core Installation)
Al1ex
2021-03-27
1.3K
0
CVE-2021-22986:F5 BIG-IP iControl REST RCE
安全漏洞
F5 BIG-IP是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。
Al1ex
2021-03-24
1.2K
0
没有更多了
社区活动
RAG七天入门训练营
鹅厂大牛手把手带你上手实战
立即学习
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档