https://juejin.im/post/5e9518b3518825738e21794c#heading-2 安全性 跨站脚本攻击(Cross-site scripting,简称XSS) 是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时 ...
分类:
其他好文 时间:
2020-04-23 21:32:49
阅读次数:
71
0x00 漏洞简介 通达OA国内常用的办公系统,使用群体,大小公司都可以,其此次安全更新修复的高危漏洞为任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)。 0x01 影响版本 通达OA 2017版 通达OA V11.X<V11.5 ...
分类:
其他好文 时间:
2020-04-23 10:25:57
阅读次数:
1602
0x00 漏洞概述 通达OA是一套国内常用的办公系统,其此次安全更新修复的高危漏洞为任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)。 0x01 影响版本 通达OA 2017版 通达OA V11.X<V11.5 0x02 环境搭建 ...
分类:
其他好文 时间:
2020-04-23 09:17:43
阅读次数:
449
攻击技术是信息安全所面临的主要威胁,是信息安全工作者要应对的主要问题之一。了解攻击的技术路线,攻击的主要原理、手段、方法和途径,对于发现信息安全漏洞、采取安全应对措施、制定安全防护策略有重要的指导意义。 1.网络信息采集 (1)常用的信息采集命令常用的信息采集命令有ping、host、tracero ...
分类:
其他好文 时间:
2020-04-12 18:49:54
阅读次数:
95
此文转自Apache Tomcat会开启AJP连接器,方便与其他WEB服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如:webapp配置文件... ...
分类:
Web程序 时间:
2020-04-02 14:26:56
阅读次数:
127
OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。 参考链接: http://openwall.com/lists/oss-security/2018/08/15/5https://github.com/Rhynorater/CVE-2018- ...
分类:
其他好文 时间:
2020-03-06 15:05:17
阅读次数:
276
Windows历年高危漏洞介绍和分析 一、漏洞介绍: 1.漏洞: <1>.漏洞:是影响网络安全的重要因素; <2>.漏洞利用:成为恶意攻击的最常用手段; <3>.漏洞攻击:产业化、低成本化、手段多样化、低门槛趋势; <4>.信息化时代:无论个人/企业,都面临严峻的漏洞威胁; <5>.Windows、 ...
前言 Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp ...
分类:
Web程序 时间:
2020-03-02 22:19:41
阅读次数:
325
0x00前言 开始从小的漏洞开始练习,搬运项目地址: https://github.com/imsebao/Code Audit 0x01 Axublog是一款PHP个人博客系统。 Axublog(c_login.php)存在SQL注入漏洞。攻击者可利用漏洞, 直接进行注入,获取数据库敏感信息。 漏 ...
分类:
数据库 时间:
2020-03-01 19:56:07
阅读次数:
77
0x00 漏洞简介 Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。 Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:web ...
分类:
Web程序 时间:
2020-02-21 20:20:42
阅读次数:
134