原文http://blog.sina.com.cn/s/blog\_87216a00010137t0.html(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fblog.sina.com.cn%2Fs%2Fblog_87216a00010137t0.html"http://blog.si

点击上方蓝色字体，选择“设为星标”优质文章，及时送达!(https://oscimg.oschina.net/oscnet/29b67f75a2324a679c170e40225a7eee.jpg)来源| https://www.anquanke.com/post/id/2070290x01漏洞背景2020年05月

PrefaceSoftware: https://roundcube.net/(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Froundcube.net%2F)Versions: 1.1.x<1.1.2(亲测1.1.5也有效)CVE: CVE2015538

Resin是什么虽然看不上但是还是原因下百度百科：<strongResin是CAUCHO公司的产品，是一个非常流行的支持servlets和jsp的引擎，速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容，而且它显示静态内容的能力也非常强，速度直逼APACHESERVER。

XSS攻击什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(https://www.oschina.net/action/GoT

01前言    下载了一套CMS，看了一下，部分代码加密，也懒得去解密了，费事。直接登录后台进行黑盒结合白盒进行测试，也发现了一些问题，汇总一下，不做具体代码分析。02环境准备CmsEasy官网：http://www.cmseasy.cn网站源码版本：CmsEasy\_v5.7\_UTF80208程序源码下载：

一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟，数据安全的重要性愈加凸显，这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进，有更多的同事对逻辑漏洞产生了兴趣，本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施，逐

是一个用于设计、构建、文档化和使用风格的Web服务的开源软件框架。它通过提供一个交互式文档页面，让开发者可以更方便地查看和测试API接口。然而，在一些情况下，未经授权的访问可能会导致安全漏洞。本文将介绍如何解决SwaggerAPI未授权访问漏洞问题。未授权

一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟，数据安全的重要性愈加凸显，这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进，有更多的同事对逻辑漏洞产生了兴趣，本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施，逐