一、漏洞简介以及危害：1.什么是redis未授权访问漏洞：Redis默认情况下，会绑定在0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等，这样将会将Redis服务暴露到公网上

前言：仅记录思路方向，具体技术细节可遇到后对照深入研究。如果有补充，非常欢迎大家评论、留言。PART01利用Windows系统漏洞匹配可提权漏洞编号，系统是否缺失该补丁。1人工查用systeminfo命令或wmicqfegetHotFixID命令获取已经打

这是红日的第二套靶场，一开始直接通过域管起的weblogic，有点别扭，建议还是通过本地的用户来起weblogic，漏洞利用的点很多，不要局限于这篇文章，可以多尝试尝试其他漏洞。靶场地址:http://vulnstack.qiyuanxuetang.net

IBMAppScan该产品是一个领先的Web应用安全测试工具，曾以WatchfireAppScan的名称享誉业界。RationalAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入（SQLinjection）、跨站点脚本攻击（crosssitescripting）、缓

XML实体注入漏洞的利用与学习前言XXEInjection即XMLExternalEntityInjection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中

GoogleProjectZero安全团队去年11月发现一可绕过MicrosoftEdgeACG漏洞，让攻击者透过MicrosoftEdge将未获签章的恶意代码加载Windows电脑。尽管已通报微软，但微软尚未完成修补，本周末以超出期限为由公布漏洞信息。!(https://static.oschina.net/uploads/space/

0x01最简单的文件上传未进行文件类型和格式做合法性校验，任意文件上传漏洞代码示例：新建一个提供上传文件的 upload.html<html创建上传脚本  upload\_file.php<?php漏洞利用：可上传任意文件!(https://oscimg.oschina.net/oscnet/a

这篇文章是关于作者在学习PortSwigger的APITest类型漏洞时的记录和学习笔记

近日fastjson出现反序列化远程代码执行漏洞。天翼云提醒用户：请尽快采取措施进行排查与防护。漏洞描述5月23日，fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险，在特定条件下可绕过默认autoType关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。fastjson是开源JSON解析库，它

在拥有高节奏的开发环境和具有自动化管道的IT运营团队的组织中，实现有效的漏洞管理非常重要。这可以通过在软件开发生命周期的早期和所有阶段引入安全方面并及时修复漏洞来实现。