Shiro高版本默认密钥的漏洞利用 在Shiro反序列化漏洞修复的过程中，如果仅进行Shiro的版本升级，而没有重新生成密钥，那么AES加密的默认密钥扔硬编码在代码里，仍然会存在反序列化风险。01、漏洞案例本案例引用... 2021-12-10 19:14:27 | 阅读: 22 | 收藏 | www.secpulse.com shiro 漏洞 python 修复 加密

依赖referer字段进行身份鉴别漏洞构成条件有哪些? 01 什么是依赖referer字段进行身份鉴别?HTTP请求中的referer字段可以很容易地修改，因此不是身份鉴别检查的有效方法。根据HTTP协议，在HTTP头中有一个字段叫Ref... 2021-12-10 14:35:10 | 阅读: 18 | 收藏 | www.secpulse.com 安全 map56344 漏洞 56344 keyb

【漏洞预警】Apache Log4j2远程代码执行漏洞 1. 通告信息近日，安识科技A-Team团队监测到一则Apache Log4j2组件存在远程代码执行漏洞的信息，并成功复现该漏洞。漏洞威胁等级：严重。该漏洞是由于Apa... 2021-12-10 11:57:35 | 阅读: 190 | 收藏 | www.secpulse.com 漏洞 攻击 log4j2 信息

六方云诚聘渗透测试、漏洞挖掘、威胁情报、安全服务等岗位人才 公司介绍六方云是一家技术领先的“新安全”公司，率先提出了“AI基因、威胁免疫”的安全理念，成为国内第一家将人工智能主动式防御技术成功应用在工业互联网安全领域的创新黑马企业。六方云拥有A... 2021-12-09 18:46:51 | 阅读: 17 | 收藏 | www.secpulse.com 安全 网络 威胁 漏洞

【漏洞预警】Grafana 任意文件读取漏洞 1. 通告信息近日，安识科技A-Team团队监测到国外安全研究人员发布 Grafana 未授权任意文件读取的 0day 漏洞，攻击者可通过该漏洞在未经身份验证的情况下读... 2021-12-09 16:49:04 | 阅读: 31 | 收藏 | www.secpulse.com 漏洞 数据 安全 网络 攻击

抛出通用异常缺陷 一、什么是抛出通用异常缺陷?抛出过于宽泛的异常会导致复杂的错误处理代码，这些代码很可能包含安全漏洞。声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处... 2021-12-09 12:48:57 | 阅读: 19 | 收藏 | www.secpulse.com 安全 宽泛 悟空 397

移动安全（五）|NDK开发教程_普通和静态字段调用 0x00 背景    本文依然是团队大佬 非尘 学习逆向的学习笔记，这一系列都将以实验的方式进行知识点学习和总结，后续将持续更新，不喜勿喷～本文及后续文章中使用到的靶场地址：htt... 2021-12-08 16:50:35 | 阅读: 21 | 收藏 | www.secpulse.com 安全 jni 漏洞 whitecat 逆向

通用异常捕获声明缺陷漏洞 一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?捕捉异常似乎是处理多个可能异常的有效方... 2021-12-08 15:03:57 | 阅读: 21 | 收藏 | www.secpulse.com 捕获 安全 实质 170822

年终活动，你们冲榜，我搬家底！ 为感谢2021年所有白帽子积极地为ISRC发现外部风险，小合决定将家底通通搬出来给你们做活动！ 活动时间 2021年12月7号-2021年12月19号 测试范围... 2021-12-07 16:48:29 | 阅读: 17 | 收藏 | www.secpulse.com isrc 高危 漏洞 蜜蜂 全能王

未使用的变量缺陷漏洞 一、什么是未使用的变量缺陷?变量已赋值但从未使用过，这使其成为无意义的变量。二、未使用的变量缺陷构成条件有哪些?当一个局部变量被赋了一个值，而该值没有被任何后续指令使用时，就会出现... 2021-12-07 15:45:12 | 阅读: 24 | 收藏 | www.secpulse.com 安全 指令 信息

通过错误消息导致的信息暴露 一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是... 2021-12-06 16:13:19 | 阅读: 22 | 收藏 | www.secpulse.com 信息 攻击 安全 170627

HTTPS会话里的敏感Cookie没有设置’Secure’属性 一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本... 2021-12-04 01:23:50 | 阅读: 19 | 收藏 | www.secpulse.com 安全 信息 捕获 代理 170576

Phobos勒索热度不减，绕过杀软花样百出 背景概述老牌勒索病毒Phobos自从2019年出现以来，一直保持着很高的活跃度，并常年占据勒索病毒榜单前三，其不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户... 2021-12-03 15:21:46 | 阅读: 26 | 收藏 | www.secpulse.com 勒索 病毒 phobos 加密 plagsync

企业如何做好员工安全意识提升 近年来随着网络安全政策、技术的不断发展，国内企业对于安全的重视程度越来越高，安全建设投入力度越来越大，安全防御能力得到了明显的提升。然而，企业面临一个尴尬的问题就是，企业即使做了很多安... 2021-12-03 12:06:28 | 阅读: 23 | 收藏 | www.secpulse.com 安全 钓鱼 攻击 网络

有意为之？WannaCry变种可传播加密 背景概述WannaCry最早出现于2017年，由于利用了“永恒之蓝”漏洞进行传播，造成了全球大量主机被勒索，对网络安全造成了非常大的威胁。病毒在运行后首先会尝试访问域名”www[.]... 2021-12-03 12:06:20 | 阅读: 18 | 收藏 | www.secpulse.com 病毒 安全 wannacry 漏洞

数组声明为public final static漏洞缺陷 一、什么是数组声明为public final static缺陷?程序声明一个public final static的数组，这不足以防止修改数组的内容。二、数组声明为public fi... 2021-12-02 12:46:42 | 阅读: 18 | 收藏 | www.secpulse.com 安全 数据 中科 170511 不足以

实战｜页面篡改安全事件应急流程 文章首发于奇安信攻防社区地址：https://forum.butian.net/share/902一、认识网页篡改了解网页篡改类型 网页篡改指的是黑客通过技术手段上传了webshel... 2021-12-02 11:17:03 | 阅读: 48 | 收藏 | www.secpulse.com 篡改 安全 劫持 网络

通过某大学生的的毕业设计复习java-sql审计 sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入本人正在拜读一本代码审计的书感觉非常的棒，刚刚好室友在挑战自己，... 2021-12-01 19:09:53 | 阅读: 13 | 收藏 | www.secpulse.com 注入 占位 数据 pst

数字类型的不正确转换漏洞 一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时，会忽略部分数据，造成精度损失，甚至产生不可预期的数值。如果在敏感的上下文中使用结果值，... 2021-12-01 12:55:12 | 阅读: 21 | 收藏 | www.secpulse.com 安全 数据 漏洞 悟空

对XML外部实体引用的不当限制漏洞 一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体，这些URI可以解析为超出预期控制范围的文档，从而导致产品将不正确的文档嵌入其输出中。X... 2021-11-30 19:23:32 | 阅读: 24 | 收藏 | www.secpulse.com 攻击 攻击者 漏洞 安全 该软件