Johnny21 Johnny21
3年前
漏洞复测系列 -- SSH 支持弱加密算法漏洞
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。一、漏洞描述SSH的配置文件中加密算法没有指定,默认支持所有加密算
专注IP定位 专注IP定位
1年前
网络安全中API常见漏洞
据BleepingComputer网站披露,近20家汽车制造商和服务机构存API安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。据悉,出现API漏洞的品牌包括但不限于宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、
Stella981 Stella981
3年前
Nessus中文报告自动化脚本
前言    在上一篇文章《利用Python半自动化生成Nessus报告》中,提供了一个demo和中文漏洞库,总感觉少了点什么。这两天,抽空完善了一下脚本,可支持中文漏洞库,自动化生成Nessus漏洞扫描报告。github地址:https://github.com/Bypass007/Nessus\_to\_report使用
Wesley13 Wesley13
3年前
JAVA 反序列化攻击
Java反序列化攻击漏洞由FoxGlove的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。由于目前发现该漏洞存在于Apachecommonscollections,Apachexalan和Groovy包中,也就意味着使用了这些包的服务器(目前发现有WebSphere,WebLogic,
Wesley13 Wesley13
3年前
mongo
搭建调试环境,调试CVE201910758漏洞,学习nodejs沙箱绕过,以及nodejs远程调试。目前网上关于该漏洞的基于docker的远程调试分析写的很泛,本文从初学者角度分析调试漏洞成因,特别是在chrome浏览器调试nodejs上花了点篇幅。0x01认识mongoexpressmongoexpress是一个Mong
Easter79 Easter79
3年前
Struts2 转换器
转换器从一个HTML表单到一个Action对象,类型转换是从字符串到非字符串Http没有“类型”的概念,每一项表单的输入只可能是一个字符串或一个字符串数组,在服务器端必须把String转换为特定的数据类型在struts2中把请求参数映射到action属性的工作由Paramet
Easter79 Easter79
3年前
Struts2常量的配置
    struts.xml配置文件最大的作用就是配置Action和请求之间的对应关系,并配置逻辑视图名和物理视图资源之间的对应关系。除此之外,struts.xml文件还有一些额外的功能,例如Bean配置、配置常量、导入其他配置文件等。Struts2除了可使用struts.xml文件来管理配置之外,还可使用struts.properties晚间来管理常
DevOpSec DevOpSec
2年前
Log4j史诗级漏洞,从原理到实战,只用3个实例就搞定!
背景最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经
京东云开发者 京东云开发者
3个月前
从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应
在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着技术的不断发展,黑客攻击手段也在不断升级,其中0day漏洞的利用更是让企业防不胜防。0day漏洞是指在厂商尚未发布补丁修复的情况下,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给