漏洞

IT 青年5 小时前
漏洞
CVE-2014-6271(bash破壳漏洞 )CVE-2014-6271是GNU Bash shell的远程代码执行漏洞,因Bash在解析环境变量时错误处理函数定义,导致攻击者可注入恶意命令。具体表现为:
网络研究院21 小时前
网络·网络协议·安全·http·攻击·漏洞
新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击安全研究人员发现了一种针对 HTTP/2 实现的新型拒绝服务 (DoS) 技术,称为“MadeYouReset”(CVE-2025-8671)。
IT 青年11 天前
漏洞
CVE-2020-24557CVE-2020-24557 是 D-Link 路由器(如 DIR-816L2) 中存在的一个 命令注入(Command Injection) 漏洞,其核心原理为:
第十六年盛夏.13 天前
网络安全·漏洞
【网络安全】不安全的反序列化漏洞在网络安全的江湖中,反序列化漏洞可谓是相当棘手的存在。今天,咱们就来唠唠 Top10 不安全的反序列化漏洞,用最通俗的话,配上有趣例子,让大伙一看就懂!
IT 青年20 天前
漏洞
CVE-2021-21148CVE-2021-21148 是 Google Chrome 浏览器中 V8 引擎的一个 类型混淆(Type Confusion) 漏洞,属于 0day(零日)漏洞,即在公开前已被攻击者利用。其核心机制如下:
远方2351 个月前
android·安全·文件·漏洞·目录·权限
Android无需授权直接访问Android/data目录漏洞从android11开始,访问/sdcard/Android/data目录需要URI授权,而从更高的版本开始甚至URI权限也被收回,返回“无法使用此文件夹”的提示,这里提供一种方法,可以越权强制访问data目录,当然也包括obb、media等目录,方法就是利用andoird文件提权漏洞。
浮江雾1 个月前
xml·安全·web安全·漏洞·xxe
XXE漏洞1-XXE 漏洞简介-XML 语法-DTD 讲解-外部实体讲解XXE(XML External Entity)漏洞是一种基于XML解析的安全漏洞,攻击者通过构造恶意的
IT 青年1 个月前
漏洞
Windows 用户账户控制(UAC)绕过漏洞CVE-2021-31199 是一个 Windows 用户账户控制(UAC)绕过漏洞,CVSS 3.1 评分 7.8(高危)。其核心原理如下:
IT 青年1 个月前
漏洞
HTTP请求走私漏洞HTTP请求走私(HTTP Request Smuggling)是一种利用前端服务器(如代理、负载均衡器)与后端服务器在解析HTTP请求时的不一致性,绕过安全机制并执行恶意操作的攻击技术。其核心在于混淆请求边界,使前后端服务器对同一请求的解析结果不同,导致攻击者注入的恶意请求被后端服务器单独处理。
智云软件测评服务2 个月前
应用·漏洞·扫描
Web应用安全漏洞扫描:原理、常用方法及潜在风险解析?Web应用安全的关键环节在于进行漏洞扫描,这种扫描通过自动化或半自动化的方式,对应用进行安全测试。它能揭示出配置错误、代码缺陷等众多安全风险。接下来,我将详细阐述这些情况。
网安INF2 个月前
java·web安全·网络安全·jenkins·漏洞
CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)漏洞编号:CVE-2024-23897 CVSS 评分:9.8 影响版本:修复版本:≥ 2.442(主分支) / ≥ 2.426.3(LTS) 漏洞类型:未授权任意文件读取(Arbitrary File Read) 根本原因:Jenkins CLI 使用 args4j 库解析命令参数时,默认启用 @ 文件路径扩展功能(expandAtFiles),攻击者可利用该特性读取服务器任意文件(如 /etc/passwd、加密密钥等),结合其他漏洞链可能导致 远程代码执行(RCE)。
网安INF2 个月前
java·web安全·网络安全·flink·漏洞
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)类路径:org.apache.flink.runtime.rest.handler.cluster.JobManagerCustomLogHandler 方法:getFile
网安INF2 个月前
java·web安全·网络安全·kafka·漏洞·jndi注入
CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)漏洞名称:Apache Kafka Connect JNDI注入导致的远程代码执行漏洞 CVE编号:CVE-2023-25194 CVSS评分:8.8 影响版本:Apache Kafka 2.3.0 - 3.3.2 修复版本:≥ 3.4.0 漏洞类型:反序列化导致的远程代码执行(RCE)
网安INF2 个月前
java·web安全·网络安全·flink·漏洞
CVE-2020-17518源码分析与漏洞复现(Flink 路径遍历)漏洞名称:Apache Flink REST API 任意文件上传漏洞 漏洞编号:CVE-2020-17518 CVSS 评分:7.5 影响版本:Apache Flink 1.5.1 - 1.11.2 修复版本:≥ 1.11.3 或 ≥ 1.12.0 漏洞类型:路径遍历导致的任意文件写入 根本原因:REST API 处理文件上传时未对 filename 参数进行路径规范化校验,导致攻击者可通过 ../ 实现目录穿越,将文件写入任意路径。
不知几秋3 个月前
漏洞
pikachu通关教程-File Inclusion首先我们把file1改成file2,发现切换成功那我们可不可以上传本地文件呢,答案是肯定的,大家可以尝试一下
智云软件测评服务3 个月前
漏洞·扫描·检测
网络系统中安全漏洞扫描为何重要?扫描啥?咋扫描?在网络系统中,安全漏洞扫描占据着极其重要的位置,这一环节有助于我们发现并消除潜在的安全隐患,进而提高网络安全防护的等级。下面,我将对此进行详尽的说明。
智云软件测评服务3 个月前
渗透·漏洞·扫描
测评机构如何通过漏扫保障软件安全?扫描范围与局限解析测评机构在保障软件安全方面起着极其关键的作用,它们负责执行漏洞扫描和渗透测试,这两项任务极为重要,能够揭示软件中存在的潜在安全风险,同时也有利于提升软件的整体品质。
Think Spatial 空间思维3 个月前
网络协议·安全·https·漏洞·攻防·防御
【安全攻防与漏洞】HTTPS中的常见攻击与防御HTTPS 中常见攻击与防御策略涵盖中间人攻击(MITM)、SSL剥离、重放攻击等,帮助构建安全的 HTTPS 通信环境:
kp000003 个月前
android·开发语言·安全·web安全·php·漏洞
PHP弱类型安全漏洞解析与防范指南PHP作为广泛使用的服务端语言,其弱类型特性在带来开发便利的同时也引入了安全隐患。本文将深入浅出地讲解PHP弱类型相关的安全漏洞及其防范措施。
智云软件测评服务3 个月前
漏洞·扫描·潜在
系统漏洞扫描服务:维护网络安全的关键与服务原理?系统漏洞扫描服务是维护网络安全的关键措施,能够迅速发现系统中的潜在风险,有效预防可能的风险和损失。面对网络攻击手段的日益复杂化,这一服务的重要性日益显著。