目录一、PHPINFO泄露1、什么是phpinfo?(1)PHP 版本信息 (PHP Version)(2)系统信息 (System)(3)PHP 指令 (PHP Variables)(4)模块信息 (Modules)(5)环境变量 (Environment)(6)HTTP 请求和响应头2、为什么p ...
1.根据题意,点击查看按钮 2.查找到flag ...
转载
2021-10-12 17:26:00
238阅读
2评论
棱镜七彩安全预警近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun
原创
2023-03-28 14:15:42
506阅读
漏洞情况:Nessus扫描到NFS共享信息泄露漏洞漏洞验证:1、扫描验证,确认漏洞存在,输出共享目录。use auxiliary/scanner/nfs/nfsmount2、将目标IP的目录挂载到本地目录。mount -t nfs 192.168.99.23:/usr/sap/trans /tmp/test...
原创
2023-07-05 13:34:40
237阅读
漏洞说明: php是一款被广泛使用的编程语言,可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数,许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示,但是phpinfo里存在一些安全问题,导致精心构造数据就可以产生一个跨站脚本漏洞,可以被用来进行攻击。漏洞成因: phpinfo页面对输入的参数都做了详细
转载
精选
2009-03-05 00:15:05
1030阅读
0x00前言phpinfo对于php程序员来说是熟悉不过的,但这个函数能列出服务器很多信息,稍有不慎就能给你服务器带来危害,那么这个函数究竟能泄漏什么样的信息呢?0x011.网站真实ip当网站使用cdn或群集时,那么该文件会显示网站真实ip地址2.网站路径当网站绝对路径泄漏时,如果能写webshell,则可以直接getshell;当日志文件路径泄露时,如果存在文件包含,则直接包含日志文件getsh
原创
2018-01-20 15:46:17
10000+阅读
点赞
Allaire JRun “JSessionID” 信息泄露漏洞 发布日期: 2001-12-6<br> <br>受影响的系统: Allaire JRun 3.0<br> - IBM AIX 4.2<br> - IBM AIX 4.3<
转载
2023-09-13 15:24:30
0阅读
一、实验简介实验所属系列: 系统安全实验对象:本科/专科信息安全专业相关课程及专业: 计算机网络实验时数(学分):2 学时实验类别: 实践实验类二、实验目的Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。本实验详细介绍了有关的系统知识和分析该漏
转载
2024-05-21 01:09:19
268阅读
一、漏洞简介1、ThinkPHP在开启DEBUG的情况下会在Runtime目录下
原创
2022-11-14 21:46:31
7543阅读
点赞
1 说多了都是泪被自己部署的 Zookeeper 集群 DDOS 攻击了,惊不惊喜,意不意外?肯定有很多朋友会问,怎么会呢? 一般来说确实不可能,但在一系列条件的配合下,可以把不可能变为可能(感觉好励志有木有!),下面就让我给大家一一道来。 2 交代下前提在讲故事前,有几个前提先跟大家说明下: 前提一我们公司服务治理框架用的是 Dubbo,注册中心使用
转载
2024-03-27 15:35:57
113阅读
前言内存泄漏指由于疏忽或错误造成程序未能释放已经不再使用的内存。内存泄漏并非指内存在物理上的消失,而是应用程序分配某段内存后,由于设计错误,导致在释放该段内存之前就失去了对该段内存的控制,从而造成了内存的浪费。这里就讲一些常见会带来内存泄露的原因。0. 全局变量 JavaScript自由的其中一种方式是它可以处理没有声明的变量:一个未声明的变量的引用在全局对象中创建了一个新变量。在浏览器的环境中
转载
2023-12-25 12:58:22
40阅读
POST /cgi-bin/supervisor/adcommand.cgi HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: text/html,application/xhtml xml,application/xml;q=0
转载
2021-04-17 00:15:00
1267阅读
2评论
棱镜七彩安全预警近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于
转载
2024-01-12 15:17:49
0阅读
几乎每个应用程序都会使用一个应用程序编程接口(API)。然而,从安全的角度来看,API也伴随着一些常见的问题。Gartner预测,API滥用将是2022年最常见的攻击类型。那么,API到底面临着什么问题呢?数据安全保护者应该如何做呢?普遍的API风险2019年,OWASP公布了10个需要注意的Web应用数据安全风险。包括:数据暴露:当开发人员公开其对象的所有属性而不考虑这些项目的私密程度的情况下,
转载
2023-10-30 12:49:05
254阅读
前言这是2016年的一个洞,利用条件是至少知道一个触发 springboot 默认错误页面的接口及参数名。影响版本:1.1.0-1.1.12 1.2.0-1.2.7 1.3.0修复方案:升级版本环境搭建下载链接:https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot- spel-rce用i
转载
2024-02-21 10:26:11
200阅读
一、漏洞简介metabase 是一个简单、开源的数据分析平台。CVE-2021-412
原创
2022-11-14 22:00:34
944阅读
一.第一种解决方法:升级opensslOpenSSL 1.0.2用户应升级到1.0.2iOpenSSL 1.0.1用户应升级到1.0.1u openssl最新版本是1.1.1系列,且是TLS版本 查看版本 openssl version 二.第二种解决方法nginx禁用des和3des加密 #配置加
转载
2021-06-24 14:28:00
3521阅读
2评论
从前端信息泄露进行漏洞挖掘前言在漏洞挖掘中,比的不但是资产收集的本领,更多的是细心。往往毫不起眼的前端文件,
转载
2021-09-08 15:53:15
540阅读
一、SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)
具体实现过程:例如: 我们要获取 pid 参数值"PID": "10648",POST
Swagger简介swagger包括三部分: Swagger Editor(基于浏览器的编辑器),Swagger UI(可以让我们通过浏览器来查看并操作Rest API,Swagger Codegen。Swagger接口相关注解说明1.@Api:可设置对控制器的描述2. @ApiOperation:: 可设置对接口的描述3 .@ApiIgnore: Swagger 文档不会显示拥有该注解的接口。4
转载
2024-08-29 11:25:39
323阅读
