漏洞
未读
【0day】某云HKMP智慧商业软件存在逻辑缺陷漏洞
漏洞简介 某和正信息技术有限公司,成立于2010年,位于山东省青岛市,是一家以从事软件和信息技术服务业为主的企业。某云HKMP智慧商业软件存在任意用户添加漏洞 资产详情 body="金斗云 HKMP" 漏洞复现
网络安全
未读
WebLogic T3协议反序列化命令执行漏洞
一、漏洞原理简介 漏洞概述: CVE-2018-2628是Oracle WebLogic Server(WLS)核心组件中的一个反序列化命令执行漏洞。 允许未授权的用户通过T3协议在远程服务器上执行任意命令,从而可能完全控制受影响的服务器。 漏洞原理:
漏洞
未读
Tomcat弱口令&war远程部署漏洞
一、漏洞原理介绍 Tomcat弱口令&WAR远程部署漏洞的原理主要涉及Tomcat服务器的默认密码设置不当和WAR文件远程部署功能的潜在安全风险。 首先,关于Tomcat弱口令漏洞,Tomcat在默认情况下可能使用简单的密码(如“tomcat/tomcat”)作为进入后台管理的凭证。如果管理员没有修
漏洞
未读
某HCM智能人力资源系统存在SQL注入漏洞导致Getshell
漏洞简介 某HCM智能人力资源系统帮助大型企业解决跨地域、多层次集团发展过程中面临的人力资源管控、协调性、资源共享等问题,内置强大的工作流引擎驱动各大复杂的人力资源业务流程其实 并实现快速构建的业务模块而无须开发。结合大型企业对人才选、育、用、留的特点,本系统丰富并完善了招聘、培训、绩效、薪酬、能力
漏洞
未读
漏洞预警 | Pear-Admin-Boot SQL注入漏洞
0x00 漏洞编号 暂无 0x01 危险等级 高危 0x02 漏洞概述 Pear Admin Boot是一个基于Spring Boot和Vue.js的开源后台管理系统框架。
漏洞预警 | 云匣子反序列化漏洞
0x00 漏洞编号 暂无 0x01 危险等级 高危 0x02 漏洞概述 云匣子是支持手机运维的云堡垒机,主要功能包括:云资产管理、账号统一认证管理、权限管理、应用管理、运维。云匣子为用户提供了一个简洁、高效和安全的管理环境。
漏洞
未读
关于ViewState反序列化漏洞后渗透
关于ViewState 这里摘一下网上的文章 .NET 相关漏洞中,ViewState也算是一个常客了。Exchange CVE-2020-0688,SharePoint CVE-2020-16952 中都出现过ViewState的身影。其实ViewState 并不算漏洞,只是ASP.NET 在生成
Apache ActiveMQ 漏洞导致隐秘 哥斯拉 Webshell
Trustwave 发现利用 Apache ActiveMQ 主机漏洞的攻击数量激增。在某些情况下,这些主机会托管恶意 Java Server Pages (JSP) Web Shell。 这些 Web Shell 隐藏在未知的二进制格式中,旨在逃避安全和基于签名的扫描程序。值得注意的是,尽管二进制
漏洞
未读
CVE-2024-31982:XWiki 通过 DatabaseSearch 以访客身份远程执行代码
影响 XWiki 的数据库搜索允许通过搜索文本执行远程代码。由于数据库搜索默认可供所有用户访问,因此任何公共 wiki 访问者或封闭 wiki 用户都可以执行远程代码。这会影响整个 XWiki 装置的机密性、完整性和可用性。 要在未登录的情况下重现实例,请转到
漏洞
未读
JDBC反序列化漏洞
Java JDBC JDBC简介 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的A
ASPX介绍-DLL反编译+常见漏洞
.NET项目-DLL文件反编译指向-代码特性 dll文件类似java的jar包一样,把核心内容封装了,需要反编译才能获得dll文件内容 反编译工具:ILSpy_binaries 如何查看网站aspx文
jsweb-判断js+js代码审计
什么是JS渗透测试? 在Javascript中也存在变量和函数,当存在可控变量及函数调用即可产生漏洞 JS开发的WEB应用和PHP,JAVA,NET等区别在于即便没有源代码,也可以通过浏览器的查看源代码获取真实的源码。所以相当于测试JS开发的WEB应用属于白盒测试(默认有源码参考)。 如何判定是JS
最近发布