写点什么

安全漏洞

0 人感兴趣 · 125 次引用

  • 最新
  • 推荐
https://static001.geekbang.org/infoq/e3/e37eecdfa7614089e0048a16407bbdcf.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

OSCS 开源安全周报第 57 期:Smartbi windowUnloading 限制绕过导致远程代码执行

用户头像
墨菲安全
2023-08-28

OSCS 社区共收录安全漏洞 13 个,公开漏洞值得关注的是 WinRAR<6.23 远程代码执行漏洞【Poc公开】(CVE-2023-38831)、Spring Kafka 反序列化漏洞(CVE-2023-34040)、Smartbi windowUnloading限制绕过导致远程代码执行(MPS-e2z8-wdi6)、WPS Office 远程代码执行

https://static001.geekbang.org/infoq/b5/b5ecf32841280247f3c76e5030fc9b14.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2023 年最具威胁的 25 种安全漏洞 (CWE TOP 25)

CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。

https://static001.geekbang.org/infoq/28/2826a5fad9f1967be0983395217e8c88.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143)

用户头像
墨菲安全
2023-01-05

Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。

https://static001.geekbang.org/infoq/f3/f3c83dd85d2011da227cc07b70cb2290.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

【漏洞分析】Apache ShardingSphere-Proxy <5.3.0 身份认证绕过

用户头像
墨菲安全
2022-12-27

2022年12月22日,Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞(CVE-2022-45347)。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时,由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息,攻击者可

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-11 微软漏洞通告

用户头像
火绒安全
2022-11-09

微软官方发布了2022年11月的安全更新。本月更新公布了68个漏洞,包含26个特权提升漏洞、16个远程执行代码漏洞、10个信息泄露漏洞、6个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞以及1个深度防御漏洞。

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-10 微软漏洞通告

用户头像
火绒安全
2022-10-17

微软官方发布了2022年10月的安全更新。本月更新公布了96个漏洞,包含39个特权提升漏洞、20个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、5个身份假冒漏洞以及2个安全功能绕过漏洞。

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-09 微软漏洞通告

用户头像
火绒安全
2022-09-16

微软官方发布了2022年09月的安全更新。本月更新公布了79个漏洞,包含31个远程执行代码漏洞、18个特权提升漏洞、7个信息泄露漏洞、7个拒绝服务漏洞以及1个安全功能绕过漏洞,其中5个漏洞级别为“Critical”(高危),58个为“Important”(严重)。

漏洞修复实用指南

用户头像
SEAL安全
2022-09-15

首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击,使用一些方法来识别、优先考虑、修复和监控漏洞,这个过程就是漏洞修复了。

https://static001.geekbang.org/infoq/49/49da9d3425b826c1ce88a5cc0b16ed2d.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

你的数据是如何泄露的?企业和个人应该这样做……

用户头像
火绒安全
2022-08-11

置身互联网时代,我们享受信息化时代带来便利的同时,个人信息泄露事件也层出不穷:WPS被爆会删除用户本地文件、学习通疑似泄露1亿多条用户信息、滴滴过度收集1.07亿条乘客人脸识别信息……

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-08 微软漏洞通告

用户头像
火绒安全
2022-08-11

微软官方发布了2022年08月的安全更新。本月更新公布了141个漏洞,包含65个特权提升漏洞、32个远程执行代码漏洞、12个信息泄露漏洞、7个拒绝服务漏洞、7个安全功能绕过漏洞以及1个身份假冒漏洞。

漏洞管理计划的未来趋势

用户头像
SEAL安全
2022-08-10

根据美国国家漏洞数据库(NVD)数据显示,安全漏洞的数量在过去22年内处于持续增加的状态。

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-06 微软漏洞通告

用户头像
火绒安全
2022-06-17

微软官方发布了2022年06月的安全更新。本月更新公布了61个漏洞,包含28个远程执行代码漏洞、12个特权提升漏洞、11个信息泄露漏洞、3个拒绝服务漏洞、1个功能绕过以及1个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),53个为“Important”(严重)。

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-05 微软漏洞通告

用户头像
火绒安全
2022-05-12

微软官方发布了2022年05月的安全更新。本月更新公布了75个漏洞,包含26个远程执行代码漏洞、21个特权提升漏洞、17个信息泄露漏洞、6个拒绝服务漏洞、4个功能绕过以及1个身份假冒漏洞,其中8个漏洞级别为“Critical”(高危),66个为“Important”(严重)。

CWE 4.7 中的新视图:工业控制系统的安全漏洞类别

CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。

网络安全:绕过 MSF 的一次渗透测试

这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站, 配置有宝塔WAF

失败案例之安全抓包测试

在做一次App渗透测试项目中,发现设置代理后使用BurpSuite抓不到包,尝试使用了Drony等工具都无法进行抓包,而且App也被加固,由于技术太菜无法脱壳...!

【网络安全】记一次网站站点渗透

遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限

https://static001.geekbang.org/infoq/7b/7ba55d6b7f143f056f1136e1b2827a17.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

代码安全 | 什么是 OWASP?OWASP 十大漏洞解析

OWASP和OWASP十大漏洞有助于保护您的代码免受软件安全漏洞的影响。在这里,我们将分别阐述OWASP的介绍内容以及OWASP十大漏洞的详细内容。

安全实战:webshell 的几种免杀方式

传统的php免杀不用多说了 无非就是各种变形和外部参数获取,对于一些先进的waf和防火墙来说,不论如何解析最终都会到达命令执行的地方,但是如果语法报错的话,就可能导致解析失败了,这里简单说几个利用php版本来进行语义出错的php命令执行方式。

网络安全:小记一次代码审计

事情是这样的,由于我 CNVD 还差一积分就可以兑换京东E卡了,所以找了这个 CMS 看看能不能挖到漏洞,运气还是不错的挖到了两个,分别是 SSRF 与文件覆盖 GETSHELL,这才有这篇文章。该 CMS 版本是 4.2。以下漏洞均被 CNVD 收录。

【干货】Servlet 内存马加载流程分析

Servlet内存马的最后一篇,和之前的分析其实差不太多,基础知识就不进行了,这篇文章就直接从加载开始说起,废话不多说直接开始吧。

网络安全必学渗透测试流程

这个靶场是一个对渗透新手很友好的靶场。而且,该靶场包含了渗透测试的信息收集,漏洞利用和权限提升的全过程,对新手理解渗透测试的流程有很好的帮助。

网络安全:SQL 注入漏洞

WordPress是一个用PHP编写的免费开源内容管理系统,由于clean_query函数的校验不当,导致了可能通过插件或主题以某种方式从而触发SQL注入的情况。这已经在WordPress5.8.3中进行了修复。影响版本可以追溯到3.7.37。

【漏洞分析】反序列化漏洞

2022年1月18日,ORACLE官方发布了2022年第一季度的补丁,其中涉及到多个关于Weblogic的漏洞。由于Weblogic的补丁很贵,一般人下载不到,所以一直在等待相关的细节信息。

musl 堆利用技巧,你知道多少

最近比赛出的musl题型的越来越多,不得不学习一波musl的堆利用来应对今后的比赛。这里要讲的是musl1.22版本的利用,因为网上可以找到很多审计源码的文章,所以这篇文章是通过一道题目来debug去学习堆的利用技巧,这里用到的是2021第五空间线上赛的notegame题

网络安全之小程序抓包渗透测试流程

分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。

https://static001.geekbang.org/infoq/d5/d569f02bbf2e23f9229bf776fc100501.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

蜜罐中利用 jsonp 跨域漏洞和 xss 漏洞的分析

用户头像
H
2022-02-12

我们在打红队的时候,经常会碰到蜜罐,而更有一些“主动防御”的蜜罐中利用到了一些网站的跨域漏洞和xss,对此进行简单分析。

安全漏洞_安全漏洞技术文章_InfoQ写作社区