首页
学习
活动
专区
圈层
工具
发布
首页标签web安全

#web安全

Apereo CAS 4.1 反序列化命令执行漏洞

你叫夹克

Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以...

3910

CVE-2021-25646,Apache Druid 代码执行漏洞

你叫夹克

Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用,并且默认是禁用的。然而,在Dru...

6600

CVE-2021-43798,Grafana 8.x 插件模块目录穿越漏洞

你叫夹克

靶机配置:运行 Grafana 8.2.6 版本的服务器(该版本为漏洞影响范围内的典型版本,后续版本已修复此问题)。

2700

fastjson 1.2.47 远程命令执行漏洞

你叫夹克

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名...

5200

CVE-2021-43008,Adminer远程文件读取

你叫夹克

Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasti...

5200

CVE-2021-32682,elFinder ZIP 参数与任意命令注入

你叫夹克

CVE-2021-32682 是 elFinder 文件管理器在处理 ZIP 压缩功能时存在的任意命令注入漏洞,其触发需满足以下 3 个核心条件:

13910

CVE-2024-47177,CUPS打印机任务RCE漏洞

你叫夹克

该漏洞本质是 cups-browsed 服务的命令注入漏洞,触发流程可分为 3 个关键步骤:

11710

LingJing(灵境):本地桌面级网络安全靶场平台,Windows安装教程250915

414a

本平台仅供网络安全研究与教育用途,旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入...

18800

LingJing(灵境):桌面级网络安全靶场平台,Mac环境安装

414a

本平台仅供网络安全研究与教育用途,旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入...

27910

LingJing(灵境)本地桌面级网络安全靶场平台更新(0.2.6)

414a

本平台仅供网络安全研究与教育用途,旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入...

20610

走进“乌云”教科书书里的漏洞(5)【刷优惠卷漏洞】

用户11796932

发包多次获得优惠券漏洞是营销活动中常见的业务逻辑漏洞,主要因系统未对优惠券领取请求进行有效限制,导致攻击者通过重复发送请求(即 "重复发包")绕过领取规则,获取...

16410

深入解析Web应用安全与XSS防御策略

qife122

Bryan Sullivan在此做客BlueHat博客,暂时离开我通常所在的SDL博客。很高兴看到BlueHat向Web应用安全社区示好。令我兴奋的是,Blue...

12110

LingJing(灵境)外部适配靶机导入

414a

本平台仅供网络安全研究与教育用途,旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入...

18900

2024年十大Web黑客技术提名揭晓:创新攻击手法与防御挑战

qife122

PortSwigger研究团队于2025年1月8日宣布开放2024年度十大Web黑客技术提名citation:5。自2006年以来,安全社区每年都会汇集全球研究...

9200

走进“乌云”教科书书里的漏洞(4)【充值舍入漏洞】

用户11796932

舍入漏洞是财务、支付、电商等涉及金额计算的系统中,因对小数金额的舍入规则设计不当或计算逻辑不统一,导致实际金额与预期金额产生偏差,进而被攻击者利用获取非法利益的...

22610

走进“乌云”教科书书里的漏洞(3)【修改金额薅羊毛漏洞】

用户11796932

修改金额薅羊毛漏洞是电商、支付类系统中常见的业务逻辑漏洞,核心成因是系统对订单金额、支付金额等关键数据的校验机制缺失或不完整,导致攻击者可通过篡改数据绕过正常定...

18110

走进“乌云”教科书书里的漏洞(2)【负数支付漏洞】

用户11796932

在常规的支付流程中,系统会对支付金额进行严格校验,以确保交易的合理性与安全性。然而,当支付系统在设计或编码过程中存在缺陷时,就可能出现允许用户将总价修改为负数并...

16510

2022年十大Web黑客技术盘点 | PortSwigger研究

qife122

欢迎阅读第16期年度十大Web黑客技术盘点,这是由社区驱动的年度盛事,旨在评选过去一年发布的最重要、最具创新性的Web安全研究成果。今年我们收到了破纪录的46项...

6900
领券