unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
又又又是一个属性覆盖带来的漏洞
想到最近出了好几个与属性覆盖有关的漏洞,突然想到有一个国产系统也曾经出过这类问题,比较有趣这里简单分享一下,希望把一些东西串起来分享方便学到一些东西前后端框架信息梳理首先简单从官网可以看出所使用的框架...
2023-12-31 00:52:4 | 阅读: 37 |
收藏
|
Sec-News 安全文摘 - govuln.com
jsonconfig
rootpath
jsonobject
freemarker
Apache OFBiz未授权命令执行浅析(CVE-2023-51467)
未修复的权限绕过还是之前那个遗留的问题,首先是权限绕过,首先还是做一个简单的回顾关于登录的校验在org.apache.ofbiz.webapp.control.LoginWorker#checkLog...
2023-12-31 00:51:15 | 阅读: 51 |
收藏
|
Sec-News 安全文摘 - govuln.com
webappinfo
Bypass RASP NativeMethodPrefix学习
背景众所周知,Java的RASP是没有办法直接Hook Native方法的,但确实有这个场景的需求。于是JDK官方出了一个java.lang.instrument.Instrumentation#se...
2023-12-28 18:43:31 | 阅读: 6 |
收藏
|
Sec-News 安全文摘 - govuln.com
forkandexec
绕过
stdhandles
Operation Triangulation: The last (hardware) mystery
Research...
2023-12-28 11:28:2 | 阅读: 12 |
收藏
|
Sec-News 安全文摘 - govuln.com
mmio
hardware
memory
dma
attackers
37C3 第一天:卡巴斯基爆料 Operation Triangulation 漏洞细节分析
此前数位卡巴斯基员工的私人手机遭遇不明身份外星人入侵的事件,闹的得沸沸扬扬。最后他们通过抓手收集到了完整的闭环攻击载荷,复盘原了整个链路条,连续剧一般连载完了整个分析报告。英文原文集合:https:/...
2023-12-28 11:25:7 | 阅读: 73 |
收藏
|
Sec-News 安全文摘 - govuln.com
37c3
漏洞
ccc
安全
Hacking FernFlower
前言 今天很开心,第一次作为speacker参与了议题的分享,也很感谢补天白帽大会给了我这样的一次机会 其实本该在去年来讲Java混淆的议题,不过当时赶上疫情爆发,学校出于安全的考虑没让出省。在当...
2023-12-24 18:4:53 | 阅读: 64 |
收藏
|
Sec-News 安全文摘 - govuln.com
指令
acc
synthetic
jsr
隐藏
SSH ProxyCommand == unexpected code execution (CVE-2023-51385)
SummarySSH’s ProxyCommand is a feature quite widely used to proxy ssh connections by allowing...
2023-12-24 17:50:36 | 阅读: 70 |
收藏
|
Sec-News 安全文摘 - govuln.com
ssh
openssh
malicious
client
Windows Kernel Pool (clfs.sys) Corruption Privilege Escalation
2023-12-22 16:33:41 | 阅读: 7 |
收藏
|
Sec-News 安全文摘 - govuln.com
QNAP QTS5 - /usr/lib/libqcloud.so JSON parsing leads to RCE
2023-12-22 16:33:10 | 阅读: 9 |
收藏
|
Sec-News 安全文摘 - govuln.com
被忽视的暗面:客户端应用漏洞挖掘之旅
前言 在2023年12月15日,我有幸参加了由“字节跳动安全中心”举办的“安全范儿”沙龙活动。作为“中孚信息元亨实验室”的一员,我被邀请分享名为“被忽视的暗面:客户端应用漏洞挖掘之旅”的技术...
2023-12-22 16:30:43 | 阅读: 11 |
收藏
|
Sec-News 安全文摘 - govuln.com
漏洞
xxplayer
信息
参数值
一种Java反编译器的通用对抗手段
如何生成反编译失败的class文件?build.gradle.ktsplugins { java kotlin("jvm") version "1.3.61"}group =...
2023-12-22 16:29:47 | 阅读: 15 |
收藏
|
Sec-News 安全文摘 - govuln.com
jvmtype
payload
typename
jvmflag
Router4 -- 应用路由扫描基础知识及核心代码浅析
Github发现一个很棒的工具,通过JDI实现了Tomcat 各个版本 Jetty,Spring,Struts,Jersey等中间价框架的路由扫描。写文章的时候已经更新到Router5了https:/...
2023-12-21 17:34:1 | 阅读: 13 |
收藏
|
Sec-News 安全文摘 - govuln.com
虚拟机
虚拟
debugger
kyodream
jdi
腾讯云服务跨租户劫持风险研究
一. 概述云 IDE 指的是无需本地环境,通过浏览器访问即可实现云端开发环境获取、代码编写、编译调试、运行预览、访问代码仓库、命令行执行等能力的云端工具。云上代码开发编程的概念实际上在2000年就已...
2023-12-20 18:29:25 | 阅读: 135 |
收藏
|
Sec-News 安全文摘 - govuln.com
cloud
虚拟
ssh
漏洞
虚拟机
Introducing wrapwrap: using PHP filters to wrap a file with a prefix and suffix
wrapwrap marks another improvement to the PHP filter exploitation saga. Adding arbitrary prefixes to...
2023-12-17 23:56:6 | 阅读: 15 |
收藏
|
Sec-News 安全文摘 - govuln.com
iconv
php
digit
triplet
payload
S2-066 浅析
一、环境搭建直接在showcase的基础上搭建src/main/resources/struts-fileupload.xml添加如下:<!-- s2-066 test-->...
2023-12-17 23:52:7 | 阅读: 16 |
收藏
|
Sec-News 安全文摘 - govuln.com
struts
fileupload
Apache Struts2 文件上传漏洞分析(CVE-2023-50164)
简述Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。根据最新推送,...
2023-12-14 11:20:54 | 阅读: 39 |
收藏
|
Sec-News 安全文摘 - govuln.com
param1
value1
Sandbox Escape in
[email protected]
SummaryThere exists a vulnerability in exception sanitization of vm2 for versions up to 3.9.1...
2023-12-13 22:10:18 | 阅读: 4 |
收藏
|
Sec-News 安全文摘 - govuln.com
proxy
vm2
attacker
GPTs攻击面研究与分析
引言在11月OpenAI的发布会之后,GPT-4的能力迎来了巨大的提升,支持用户基于初始提示词、自定义的知识库以及Actions API来构建特定任务或者主题的GPTs应用,并且引入了包括内嵌的Pyt...
2023-12-11 18:40:39 | 阅读: 8 |
收藏
|
Sec-News 安全文摘 - govuln.com
gpts
攻击
模型
数据
信息
Owncloud: details about CVE-2023-49103 and CVE-2023-49105
On November 21th 2023, Owncloud released a new version patching two vulnerabilities (1 and 2) we rep...
2023-12-11 10:51:25 | 阅读: 15 |
收藏
|
Sec-News 安全文摘 - govuln.com
oc
owncloud
dav
verifier
shalllogout
适得其反 —— 任意地址欺骗攻击解析
By: 九九2023 年 12 月 5 日,Web3 基础开发平台 thirdweb 表示在预构建智能合约中发现了安全问题,所有使用预构建智能合约部署的 ERC20、ERC721、ERC1155 代币...
2023-12-9 00:14:53 | 阅读: 11 |
收藏
|
Sec-News 安全文摘 - govuln.com
代币
攻击
multicall
攻击者
slowmist
Previous
6
7
8
9
10
11
12
13
Next