一:漏洞名称: SVN信息泄露、版本管理工具文件信息泄漏 描述: SVN(subversion)是程序员常用的源代码版本管理软件。一旦网站出现SVN漏洞,其危害远比SQL注入等其它常见网站漏洞更为致命,因为黑客获取到网站源代码后,一方面是掠夺了网站的技术知识资产,另一方面,黑客还可通过源代码分析其它 ...
转载
2021-09-12 10:27:00
1639阅读
点赞
1评论
...
转载
2021-10-12 21:07:00
1420阅读
2评论
棱镜七彩安全预警近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun
原创
2023-03-28 14:15:42
506阅读
漏洞情况:Nessus扫描到NFS共享信息泄露漏洞漏洞验证:1、扫描验证,确认漏洞存在,输出共享目录。use auxiliary/scanner/nfs/nfsmount2、将目标IP的目录挂载到本地目录。mount -t nfs 192.168.99.23:/usr/sap/trans /tmp/test...
原创
2023-07-05 13:34:40
237阅读
Allaire JRun “JSessionID” 信息泄露漏洞 发布日期: 2001-12-6<br> <br>受影响的系统: Allaire JRun 3.0<br> - IBM AIX 4.2<br> - IBM AIX 4.3<
转载
2023-09-13 15:24:30
0阅读
一、实验简介实验所属系列: 系统安全实验对象:本科/专科信息安全专业相关课程及专业: 计算机网络实验时数(学分):2 学时实验类别: 实践实验类二、实验目的Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。本实验详细介绍了有关的系统知识和分析该漏
转载
2024-05-21 01:09:19
268阅读
一、漏洞简介1、ThinkPHP在开启DEBUG的情况下会在Runtime目录下
原创
2022-11-14 21:46:31
7543阅读
点赞
1 说多了都是泪被自己部署的 Zookeeper 集群 DDOS 攻击了,惊不惊喜,意不意外?肯定有很多朋友会问,怎么会呢? 一般来说确实不可能,但在一系列条件的配合下,可以把不可能变为可能(感觉好励志有木有!),下面就让我给大家一一道来。 2 交代下前提在讲故事前,有几个前提先跟大家说明下: 前提一我们公司服务治理框架用的是 Dubbo,注册中心使用
转载
2024-03-27 15:35:57
113阅读
前言内存泄漏指由于疏忽或错误造成程序未能释放已经不再使用的内存。内存泄漏并非指内存在物理上的消失,而是应用程序分配某段内存后,由于设计错误,导致在释放该段内存之前就失去了对该段内存的控制,从而造成了内存的浪费。这里就讲一些常见会带来内存泄露的原因。0. 全局变量 JavaScript自由的其中一种方式是它可以处理没有声明的变量:一个未声明的变量的引用在全局对象中创建了一个新变量。在浏览器的环境中
转载
2023-12-25 12:58:22
40阅读
POST /cgi-bin/supervisor/adcommand.cgi HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: text/html,application/xhtml xml,application/xml;q=0
转载
2021-04-17 00:15:00
1267阅读
2评论
棱镜七彩安全预警近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于
转载
2024-01-12 15:17:49
0阅读
几乎每个应用程序都会使用一个应用程序编程接口(API)。然而,从安全的角度来看,API也伴随着一些常见的问题。Gartner预测,API滥用将是2022年最常见的攻击类型。那么,API到底面临着什么问题呢?数据安全保护者应该如何做呢?普遍的API风险2019年,OWASP公布了10个需要注意的Web应用数据安全风险。包括:数据暴露:当开发人员公开其对象的所有属性而不考虑这些项目的私密程度的情况下,
转载
2023-10-30 12:49:05
254阅读
前言这是2016年的一个洞,利用条件是至少知道一个触发 springboot 默认错误页面的接口及参数名。影响版本:1.1.0-1.1.12 1.2.0-1.2.7 1.3.0修复方案:升级版本环境搭建下载链接:https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot- spel-rce用i
转载
2024-02-21 10:26:11
200阅读
一.第一种解决方法:升级opensslOpenSSL 1.0.2用户应升级到1.0.2iOpenSSL 1.0.1用户应升级到1.0.1u openssl最新版本是1.1.1系列,且是TLS版本 查看版本 openssl version 二.第二种解决方法nginx禁用des和3des加密 #配置加
转载
2021-06-24 14:28:00
3521阅读
2评论
从前端信息泄露进行漏洞挖掘前言在漏洞挖掘中,比的不但是资产收集的本领,更多的是细心。往往毫不起眼的前端文件,
转载
2021-09-08 15:53:15
540阅读
一、SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)
具体实现过程:例如: 我们要获取 pid 参数值"PID": "10648",POST
Swagger简介swagger包括三部分: Swagger Editor(基于浏览器的编辑器),Swagger UI(可以让我们通过浏览器来查看并操作Rest API,Swagger Codegen。Swagger接口相关注解说明1.@Api:可设置对控制器的描述2. @ApiOperation:: 可设置对接口的描述3 .@ApiIgnore: Swagger 文档不会显示拥有该注解的接口。4
转载
2024-08-29 11:25:39
323阅读
背景2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。一、漏洞描述 二、漏洞危害等级
转载
2024-03-19 23:43:15
140阅读
一、漏洞简介metabase 是一个简单、开源的数据分析平台。CVE-2021-412
原创
2022-11-14 22:00:34
944阅读
关键词:SpringBoot文件上传、文件上传丢失、MultipartFile、transferToMultipartFile的transferTo方法的时候,文件保存成功,系统也没有任何报错,但就是在自己指定的位置找不到想要的文件,为了搞清楚我的文件被SpringBoot搞到哪里去了,通过跟踪源码,我发现了一个大坑,具体是啥,且听我慢慢道来。1. 测试环境搭建1.1 新建一个SpringBoot
转载
2024-03-22 09:43:10
524阅读
