一、漏洞简介以及危害：1.什么是redis未授权访问漏洞：Redis默认情况下，会绑定在0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等，这样将会将Redis服务暴露到公网上

前言：仅记录思路方向，具体技术细节可遇到后对照深入研究。如果有补充，非常欢迎大家评论、留言。PART01利用Windows系统漏洞匹配可提权漏洞编号，系统是否缺失该补丁。1人工查用systeminfo命令或wmicqfegetHotFixID命令获取已经打

这是红日的第二套靶场，一开始直接通过域管起的weblogic，有点别扭，建议还是通过本地的用户来起weblogic，漏洞利用的点很多，不要局限于这篇文章，可以多尝试尝试其他漏洞。靶场地址:http://vulnstack.qiyuanxuetang.net

0x01概要ApacheSkywalking最近暴露了一个SQL注入漏洞：CVE20209483。!(https://oscimg.oschina.net/oscnet/7ccce70440edd020f5e3fab564f7bbae238.png)ApacheSkyWalking是一个APM管理软件（应用性能监控）

简介ApacheFlink是高效和分布式的通用数据处理平台，由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎（简单来说，就是跟spark类似）。Flink具有监控API，可用于查询"正在运行的jobs"和"最近完成的jobs"的状态和统计信息。该监控API被用于Flink自

1.检测工具https://pan.baidu.com/s/1qCpm_E_Gw1VqSwkNyaWhEwudwt2.检测命令检测是否使用shiro：javacpshiro_tool.jarshiro.Checkhttp://urljavajarshiro_tool

!(https://oscimg.oschina.net/oscnet/up9e71e68c3c83c2c67c62bb4d2320100bb6c.png)一、漏洞背景安全公告编号：CNTA202000042020年02月20日，360CERT监测发现国家信息安全漏洞共享平台(CNVD)收录了CNVD2020

1、应尽量避免在where子句中使用!或<操作符，否则将引擎放弃使用索引而进行全表扫描。2、对查询进行优化，应尽量避免全表扫描，首先应考虑在where及orderby涉及的列上建立索引。3、应尽量避免在where子句中对字段进行null值判断，否则将导致引擎放弃使用索引而进行全表扫描。如：selectidfromt

GoogleProjectZero安全团队去年11月发现一可绕过MicrosoftEdgeACG漏洞，让攻击者透过MicrosoftEdge将未获签章的恶意代码加载Windows电脑。尽管已通报微软，但微软尚未完成修补，本周末以超出期限为由公布漏洞信息。!(https://static.oschina.net/uploads/space/

在拥有高节奏的开发环境和具有自动化管道的IT运营团队的组织中，实现有效的漏洞管理非常重要。这可以通过在软件开发生命周期的早期和所有阶段引入安全方面并及时修复漏洞来实现。