漏洞

智云软件测评服务25 天前
应用·漏洞·扫描
Web应用安全漏洞扫描:原理、常用方法及潜在风险解析?Web应用安全的关键环节在于进行漏洞扫描,这种扫描通过自动化或半自动化的方式,对应用进行安全测试。它能揭示出配置错误、代码缺陷等众多安全风险。接下来,我将详细阐述这些情况。
网安INF1 个月前
java·web安全·网络安全·jenkins·漏洞
CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)漏洞编号:CVE-2024-23897 CVSS 评分:9.8 影响版本:修复版本:≥ 2.442(主分支) / ≥ 2.426.3(LTS) 漏洞类型:未授权任意文件读取(Arbitrary File Read) 根本原因:Jenkins CLI 使用 args4j 库解析命令参数时,默认启用 @ 文件路径扩展功能(expandAtFiles),攻击者可利用该特性读取服务器任意文件(如 /etc/passwd、加密密钥等),结合其他漏洞链可能导致 远程代码执行(RCE)。
网安INF1 个月前
java·web安全·网络安全·flink·漏洞
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)类路径:org.apache.flink.runtime.rest.handler.cluster.JobManagerCustomLogHandler 方法:getFile
网安INF1 个月前
java·web安全·网络安全·kafka·漏洞·jndi注入
CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)漏洞名称:Apache Kafka Connect JNDI注入导致的远程代码执行漏洞 CVE编号:CVE-2023-25194 CVSS评分:8.8 影响版本:Apache Kafka 2.3.0 - 3.3.2 修复版本:≥ 3.4.0 漏洞类型:反序列化导致的远程代码执行(RCE)
网安INF1 个月前
java·web安全·网络安全·flink·漏洞
CVE-2020-17518源码分析与漏洞复现(Flink 路径遍历)漏洞名称:Apache Flink REST API 任意文件上传漏洞 漏洞编号:CVE-2020-17518 CVSS 评分:7.5 影响版本:Apache Flink 1.5.1 - 1.11.2 修复版本:≥ 1.11.3 或 ≥ 1.12.0 漏洞类型:路径遍历导致的任意文件写入 根本原因:REST API 处理文件上传时未对 filename 参数进行路径规范化校验,导致攻击者可通过 ../ 实现目录穿越,将文件写入任意路径。
不知几秋1 个月前
漏洞
pikachu通关教程-File Inclusion首先我们把file1改成file2,发现切换成功那我们可不可以上传本地文件呢,答案是肯定的,大家可以尝试一下
智云软件测评服务1 个月前
漏洞·扫描·检测
网络系统中安全漏洞扫描为何重要?扫描啥?咋扫描?在网络系统中,安全漏洞扫描占据着极其重要的位置,这一环节有助于我们发现并消除潜在的安全隐患,进而提高网络安全防护的等级。下面,我将对此进行详尽的说明。
智云软件测评服务1 个月前
渗透·漏洞·扫描
测评机构如何通过漏扫保障软件安全?扫描范围与局限解析测评机构在保障软件安全方面起着极其关键的作用,它们负责执行漏洞扫描和渗透测试,这两项任务极为重要,能够揭示软件中存在的潜在安全风险,同时也有利于提升软件的整体品质。
Think Spatial 空间思维1 个月前
网络协议·安全·https·漏洞·攻防·防御
【安全攻防与漏洞】HTTPS中的常见攻击与防御HTTPS 中常见攻击与防御策略涵盖中间人攻击(MITM)、SSL剥离、重放攻击等,帮助构建安全的 HTTPS 通信环境:
kp000002 个月前
android·开发语言·安全·web安全·php·漏洞
PHP弱类型安全漏洞解析与防范指南PHP作为广泛使用的服务端语言,其弱类型特性在带来开发便利的同时也引入了安全隐患。本文将深入浅出地讲解PHP弱类型相关的安全漏洞及其防范措施。
智云软件测评服务2 个月前
漏洞·扫描·潜在
系统漏洞扫描服务:维护网络安全的关键与服务原理?系统漏洞扫描服务是维护网络安全的关键措施,能够迅速发现系统中的潜在风险,有效预防可能的风险和损失。面对网络攻击手段的日益复杂化,这一服务的重要性日益显著。
智云软件测评服务2 个月前
漏洞·主机·扫描
主机漏洞扫描:如何保障网络安全及扫描原理与类型介绍?主机漏洞扫描是保障网络安全的关键办法,它能对主机展开全面检测,借助这种检测能及时找出潜在的安全风险,从而避免遭受黑客攻击。下面会为你具体介绍主机漏洞扫描的有关事项。
智云软件测评服务2 个月前
渗透·测试·漏洞
数字化时代下,软件测试中的渗透测试是如何保障安全的?在如今数字化与信息化的时代,软件测试中存在渗透测试,其位置十分重要,它借助模拟恶意攻击的方式,去发现软件系统所存在的漏洞以及安全问题,这是保障软件安全的关键环节,接下来我会对它的各个方面进行详细介绍。
ybdesire3 个月前
网络·人工智能·安全·web安全·大模型·漏洞·大模型安全
Jinja2模板引擎SSTI漏洞再研究大模型相关应用的漏洞CVE-2025-25362时(参考1),看到作者给了比较详细的分析(参考2)。下面对这个漏洞做个介绍。
网络研究院3 个月前
人工智能·安全·microsoft·漏洞·威胁·补丁
2025 年 4 月补丁星期二预测:微软将推出更多 AI 安全功能微软正在继续构建其 AI 网络安全战略,并于本月宣布在 Microsoft Security Copilot 中引入新代理。
漫步企鹅3 个月前
android·漏洞·修复·系统库
【漏洞修复】为了修复ARM64 Android10系统的第三方库漏洞,将ARM64 Android16的系统库直接拷贝到Android10系统如何?将高版本Android(如Android 16)的系统库直接拷贝到低版本系统(如Android 10)可能会导致以下问题:
与神明画鸭3 个月前
漏洞·thinkphp·tp
常见框架漏洞:Thinkphp(TP)篇ThinkPHP(简称 TP)是一款流行的 国产开源 PHP 框架,遵循 MVC(Model-View-Controller) 设计模式,以简洁、高效、灵活著称,广泛应用于国内中小型 Web 项目开发。
晓翔仔4 个月前
xml·网络安全·信息安全·渗透测试·漏洞
利用 requestrepo 工具验证 XML外部实体注入漏洞在数字化浪潮席卷的当下,网络安全的重要性愈发凸显。应用程序在便捷生活与工作的同时,也可能暗藏安全风险。XXE(XML外部实体)漏洞作为其中的典型代表,攻击者一旦利用它,便能窃取敏感信息、掌控服务器,对系统安全构成严重威胁。因此,精准验证和修复XXE漏洞成为保障网络安全的关键任务。requestrepo工具凭借其独特优势,为XXE漏洞验证提供了得力支持,下面将深入探讨其在漏洞验证中的具体应用。
渗透测试老鸟-九青4 个月前
网络·数据仓库·hive·hadoop·安全·网络安全·漏洞
基于Electron的应用程序安全测试基础 — 提取和分析.asar文件的案例研究目录:4.4. 案例研究4.4.2. 情况描述4.4.3. 信息收集4.4.3.2. 检查隐藏目录(点目录)的可能性
星尘安全5 个月前
网络安全·黑客·漏洞·远控·后门
黑客利用 Telegram API 传播新的 Golang 后门Netskope 的网络安全研究人员发现了一种新型的、具备一定功能但可能仍处于开发阶段的基于 Golang 语言编写的后门程序,该程序利用 Telegram 进行指令与控制(C2)活动。这种恶意软件(Trojan.Generic.37477095)疑似源自俄罗斯,它借助 Telegram 这类云服务达成恶意目的。对攻击者而言,这些云服务使用便捷,而研究人员却难以对其进行有效监控。利用这种方式进行 C2 通信,攻击者无需搭建专门的基础设施,OneDrive、GitHub 和 Dropbox 等其他云平台同样