Damn Vulnerable DeFi Challenges
Damn Vulnerable DeFi Challenges | 区块链安全挑战
- 0
- 1
- 我会一直开心
- 发布于 2024-01-03 10:00:00
- 阅读 ( 21627 )
我会一直开心
某园区系统登录绕过分析
最近看到某园区系统去年有个登录绕过+后台上传的组合漏洞,本着学习的心态分析了一下该漏洞,虽说前期了些踩雷,但是也有意外收获。
- 3
- 2
- 中铁13层打工人
- 发布于 2024-02-26 09:00:02
- 阅读 ( 21158 )
中铁13层打工人
CVE-2024-22243与Java中常见获取host的方式
Spring官方近期披露了CVE-2024-22243,在受影响版本中,由于 UriComponentsBuilder 处理URL时未正确处理用户信息中的方括号,攻击者可构造包含方括号的恶意URL绕过主机名验证。如果应用程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验,则可能导致验证绕过,出现开放重定向或SSRF漏洞。本质上还是安全检查的工具类与组件库解析host发起请求的解析逻辑导致的绕过问题。
- 0
- 0
- tkswifty
- 发布于 2024-02-27 10:00:02
- 阅读 ( 20373 )
tkswifty
从CVE-2023-21839到CVE-2024-20931
某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic之前也存在过的JNDI注入漏洞,分别是CVE-2023-21839 和 CVE-2023-21931 。漏洞通告中说的是CVE-2023-21839的补丁绕过,于是就想看看,学习学习,也回顾一下前面两个漏洞
- 1
- 1
- Stree
- 发布于 2024-02-29 09:00:00
- 阅读 ( 18905 )
Stree
Lilishop 开源商城系统代码审计
Lilishop 开源商城系统是基于SpringBoot的全端开源电商商城系统,是北京宏业汇成科技有限公司提供的开源系统。该开源商城包含的功能点多,涵盖业务全面,代码审计时没有过于关注业务逻辑只关注了对系统的完整性、保密性、可用性造成损坏的漏洞点。文章分享了比较有意思的SSRF利用方式。
- 4
- 8
- en0th
- 发布于 2023-10-12 00:00:02
- 阅读 ( 18632 )
en0th
某CMS的RCE漏洞分析&思路扩展(新手学习)
Github上面一个开源的JAVA CMS系统( [Public CMS](https://github.com/sanluan/PublicCMS) ),该系统存在一处任意命令执行(漏洞现已修复),记录下该漏洞的分析过程以及遇到类似的CMS系统我们还可以从哪些点进行漏洞挖掘。
- 4
- 8
- 中铁13层打工人
- 发布于 2023-10-27 09:00:00
- 阅读 ( 18230 )
【Web实战】数据泄露漏洞
随着移动互联网的快速发展和物联网设备的普及,API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用,因此与API相关的数据泄露事件也逐渐增多。Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它漏洞而发生大量数据泄露事件。 API安全指的是确保应用程序接口的安全性,以防止未经授权的访问、数据泄露、篡改或其他恶意攻击。
- 7
- 10
- 苏苏的五彩棒
- 发布于 2023-11-10 09:00:01
- 阅读 ( 17694 )
苏苏的五彩棒
某.net程序文件写入漏洞分析
前段时间看到公开了一个漏洞payload很奇怪,正好有空就分析了一下,也是第一次接触了.net的代码审计,一通分析下来,发现和审计java和php的思路是一样的...
- 0
- 0
- 中铁13层打工人
- 发布于 2024-03-04 10:11:05
- 阅读 ( 17531 )
HbTigerGe
【Web实战】 Atlassian Confluence CVE-2023-22518/22515 Getshell 速通
对 CVE-2023-22518 的一波分析
- 0
- 2
- Nookipop
- 发布于 2023-11-13 10:07:47
- 阅读 ( 17362 )
Nookipop
新手向某CMS的Java反序列链学习
Github上偶然发现某系统存在Java反序列化漏洞,在编写反序列化链的过程中踩了一些坑,并且这个漏洞最终的触发方式也比较特殊,本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写,初学者通过本文也可以了解一下Java反序列化链的原理。
- 4
- 5
- 中铁13层打工人
- 发布于 2023-11-30 10:00:01
- 阅读 ( 17251 )
某cms代码注入漏洞复现与分析
kodbox 是一个网络文件管理器。是一款功能丰富的私有云在线文档管理系统。它可以帮助你快速搭建一个私有网盘/云桌面,方便地管理和共享文件。它也是一个网页代码编辑器,允许您直接在网页浏览器中开发网站。12月16日发布漏洞公告kalcaddle kodbox 中发现命令注入漏洞,影响版本为小于1.48。
- 0
- 0
- 中铁13层打工人
- 发布于 2024-03-07 09:40:45
- 阅读 ( 17163 )
若依最新版后台RCE
若依定时任务的实现是通过反射调来调用目标类,目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御,但仍然可绕过!
- 3
- 5
- Yu9
- 发布于 2024-03-14 09:00:01
- 阅读 ( 16810 )
Yu9
【Web实战】浅析CVE-2023-22518
简单分析下CVE-2023-22518这个高危漏洞,师傅们切记不要再生产环境使用。
- 0
- 0
- SpringKill
- 发布于 2023-11-10 10:00:01
- 阅读 ( 16592 )
某OA系统的审计(新手学习)
一次偶然机会,找人要了套源码,是Stuts2和spring框架混用的系统,比较简单适合入门学习
- 0
- 8
- 中铁13层打工人
- 发布于 2023-09-26 09:00:02
- 阅读 ( 16444 )
某Cloud系统漏洞分析
最近学习反序列漏洞时,恰好看到某系统官方在安全公告中通告了较多的反序列化漏洞。出于兴趣,尝试对该系统的公开漏洞进行一次个人的浅浅分析。如有不对之处,请各位师傅指正并包涵。
- 4
- 1
- 中铁13层打工人
- 发布于 2023-11-13 09:00:01
- 阅读 ( 16399 )
【Web实战】浅谈Apache Shiro FORM URL Redirect漏洞(CVE-2023-46750)
Apache官方近期披露了CVE-2023-46750,在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使得用户重定向到恶意的URL地址。
- 0
- 0
- tkswifty
- 发布于 2023-11-28 10:00:01
- 阅读 ( 16128 )