当前位置:首页 » 漏洞 - 第5页

02月01日

SSL/TLS 存在Bar Mitzvah Attack漏洞_李白

发布 : zsy861 | 分类 : 《休闲阅读》 | 评论 : 0 | 浏览 : 371次
SSL/TLS 存在Bar Mitzvah Attack漏洞_李白

漏洞验证🐞详细描述🐛解决办法🐌验证方法🐜SSL状态检测🚟网络安全2021必备资料&渗透测试&面试其实这个漏洞原理我也没怎么看明白,原理及详细介绍请看文末的链接。🐞详细描述该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露

01月28日

攻防世界---ics-05_皮皮逗逗逗的博客

发布 : zsy861 | 分类 : 《休闲阅读》 | 评论 : 0 | 浏览 : 311次
攻防世界---ics-05_皮皮逗逗逗的博客

点进场景看到是很炫酷的页面,题目秒速的是:系统设备维护中心的后门入侵系统,那直奔那里进来发现什么也没有,到处点一点在点击时,url发送了变化出现?page=index那么联想到可能存在利用文件包含读取网页源码的漏洞用php内置filter伪协议读取文件的代码:?page=php://filter/read=convert.base64-encode/resource=index.php访问之后页面出现一大段base64编码 之后去解码得到(给出关键部分) 从这里看出我们需要抓包设置X-Forwarded-For:127.0.0.1​ 已经显示welc

01月28日

shiro反序列化漏洞复现_94小菜

发布 : zsy861 | 分类 : 《休闲阅读》 | 评论 : 0 | 浏览 : 323次
shiro反序列化漏洞复现_94小菜

目录简介:靶场环境漏洞复现一、手工复现二、图形化工具简介:ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性漏洞原理:ApacheShiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cooki

01月20日

tomcat漏洞之任意文件上传(CVE-2017-12615)_千寻的博客

发布 : zsy861 | 分类 : 《关注互联网》 | 评论 : 0 | 浏览 : 295次
tomcat漏洞之任意文件上传(CVE-2017-12615)_千寻的博客

文章目录0x00漏洞介绍0x01影响版本0×02原理分析0×04环境搭建0×04漏洞复现-(任意上传文件)方法一在文件名后面添加斜杠/来进行绕过方法二:在文件名后面添加%20来进行绕过方法三:在文件名后面添加::$DATA来进行绕过方法四:上传哥斯特生产的jsp0x05漏洞修护0x00漏洞介绍2017年9月19日,ApacheTomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-201

01月14日

智能合约安全漏洞检测技术研究综述——常见漏洞简述_骗招狗子的博客

发布 : zsy861 | 分类 : 《关注互联网》 | 评论 : 0 | 浏览 : 361次
智能合约安全漏洞检测技术研究综述——常见漏洞简述_骗招狗子的博客

摘自“钱鹏等:智能合约安全漏洞检测技术研究综述”三个层面的安全问题:solidity代码层,evm执行层,区块链系统层漏洞检测方法:形式化验证法,符号执行法,模糊测试法,中间表示法,深度学习法TheDao重入攻击parity多签名钱包合约的delegatecall漏洞bec合约的整数溢出漏洞无限复制代币EOS.WIN连续随机数攻击智能合约运行时允许与外部合约函数或接口交互&#x

01月06日

Samba服务安全漏洞复现及利用[CVE-2007-2447]_sganyua

发布 : zsy861 | 分类 : 《休闲阅读》 | 评论 : 0 | 浏览 : 336次
Samba服务安全漏洞复现及利用[CVE-2007-2447]_sganyua

模拟环境:攻击工具:kaliLinux/nmap/msfconsole目标:Metasploittable2/UNIX一、使用nmap扫描网段内主机命令:【nmap-sS-Pn192.168.200.134】注:-sS会使nmap执行一次隐秘的TCP扫描,以确定某个特定的TCP端口是否开放,-Pn会告知nmap不执行ping命令预先判断目标是否存活,而是默认主机为存活,也可以尝试使用-A选项MSF内同样也支持nmap扫描,这里-sV会进行探测快放端口以及版本信息扫描

01月02日

网络安全-常见面试题(Web、渗透测试、密码学、Linux等)_lady_killer9的博客

发布 : zsy861 | 分类 : 《休闲阅读》 | 评论 : 0 | 浏览 : 1602次
网络安全-常见面试题(Web、渗透测试、密码学、Linux等)_lady_killer9的博客

目录WEB安全OWASPTop10(2017)Injection-注入攻击BrokenAuthentication-失效的身份认证SensitiveDataExposure-敏感数据泄露XXE-XML 外部实体BrokenAccessControl-无效的访问控制SecurityMisconfiguration-安全配置错误XSS-跨站脚本攻击InsecureDeserialization-不安全的反序列化UsingComponentswithKnownVulnerabilities-使用已知漏洞的组件InsufficientLogging&

12月28日

XXE、反序列化漏洞简述_ZY95001的博客

发布 : zsy861 | 分类 : 《随便一记》 | 评论 : 0 | 浏览 : 407次
XXE、反序列化漏洞简述_ZY95001的博客

 一、XML介绍不同于HTML,XML用来传输和存储数据。一种树形结构,从“根”到“叶”。允许创作者定义自己的标签和自己的文档结构。二、XXE漏洞全称:xmlexternalentityinjection,即xml外部实体注入。xxe漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。xxe漏洞触发的点往往是可以上传XML文件的位置,没有对上传的xml文件进行过滤,导致可上传恶

12月26日

币王Biking9月20日资讯_bikingex的博客

发布 : zsy861 | 分类 : 《随便一记》 | 评论 : 0 | 浏览 : 273次
币王Biking9月20日资讯_bikingex的博客

7:00-12:00关键词:DFINITY、pNetwork、OpenSea、巴基斯坦1.美国监管机构认为稳定币绕过监管漏洞,正在研究如何监管稳定币;2.DFINITY社区批准了启用容器智能合约以转移ICP代币的提案;3.跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元;4.数据:OpenSea9月交易额突破20亿美元;5.Aave社区同意在Avalanche链上部署Aave;6.2021年比特币将耗电95.68TW/h,为巴基斯坦耗电量的80%;7.A

12月26日

Nginx文件名逻辑漏洞(CVE-2013-4547)复现_君莫hacker的博客

发布 : zsy861 | 分类 : 《随便一记》 | 评论 : 0 | 浏览 : 308次
Nginx文件名逻辑漏洞(CVE-2013-4547)复现_君莫hacker的博客

目录0x01漏洞介绍0x02环境部署:0x03漏洞复现1.成功访问主页2.上传php文件3.上传gif文件4.修改后缀,增加截断5.访问成功6.上传木马文件7.修改后缀8.命令执行成功0x01漏洞介绍漏洞描述这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。这是一个nginx解析漏洞。漏洞编号CVE-2013-4547受影响版

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1