标签: SQL注入

【漏洞复现】九思oa之奇怪的sql注入

发布于 作者:

【漏洞复现】九思oa之奇怪的sql注入 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-06-12 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 指纹 body="/jsoa/login.jsp&q

继续阅读

Apache CloudStack 严重漏洞可用于执行权限操作

发布于 作者:

Apache CloudStack 严重漏洞可用于执行权限操作 Guru Baran 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache CloudStack 的热门版本中存在多个严重漏洞,可导致攻击者执行权限操作并攻陷云基础设施系统。 Apache Cloudstack 在6月10日发布安全公告,修复了5个CVE漏洞,其中两个是严重级别

继续阅读

XML的Xpath注入攻击技术研究二

发布于 作者:

XML的Xpath注入攻击技术研究二 NEURON SAINTSEC 2025-06-12 09:40 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath 即为

继续阅读

【漏洞复现】九思oa漏洞之SQL注入

发布于 作者:

【漏洞复现】九思oa漏洞之SQL注入 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-06-11 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 指纹 body="/jsoa/login.jsp&qu

继续阅读

某次攻防演练中通过一个弱口令干穿内网

发布于 作者:

某次攻防演练中通过一个弱口令干穿内网 点击关注👉 马哥网络安全 2025-06-11 09:01 0x1 前言 因为单位过于敏感,所以本文图片将会严格打码以及重要部分仅用文字叙述,避免出现隐私泄露的情况 0x2 外网突破 在裁判下发的资产名单中发现了事业单位的名字,通过鹰图、quake、fofa等空间搜索引擎去搜索资产,结果自然是成功搜索到无数资产一点没有,都是假的 根本找不到对应单位的资产,我都

继续阅读

工具推荐 | 高效便捷的图形化Nuclei GUI POC管理工具

发布于 作者:

工具推荐 | 高效便捷的图形化Nuclei GUI POC管理工具 perlh 星落安全团队 2025-06-10 16:01 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 背景介绍 Wavely 是一款专为 Nuclei POC 管理设计的图形化工具,提供安装包下载和常见问题解答,助您高效管理。 主要

继续阅读

【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路

发布于 作者:

【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路 原创 solarsec solar应急响应团队 2025-06-10 08:17 在我们对5月份处理的各类勒索病毒入侵事件统计中,Weaxor勒索家族 依然位列入侵频率最高的家族之一。本月观测到的新变种已出现扩展名变化,后缀包括.weax 和.wxx ,与4月活跃的变种有所不同,显示该家族在持续进行更新与变种迭代。 本次分享的案例源于我们在

继续阅读

Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限

发布于 作者:

Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限 邑安科技 邑安全 2025-06-09 14:45 更多全球网络安全资讯尽在邑安全 影响 Dell PowerScale OneFS 存储作系统的两个重大安全漏洞,其中最严重的缺陷可能允许未经身份验证的攻击者获得对企业文件系统数据的完全未经授权的访问。 该严重漏洞被跟踪为 CVE-2024-53298,影响 Power

继续阅读

探讨进程注入:CONTEXT-Only

发布于 作者:

探讨进程注入:CONTEXT-Only 原创 半只红队 半只红队 2025-06-09 14:22 在基本的远程进程注入中,EDR会监视这经典的三个迹象: – 给进程分配新的内存:VirtualAllocEx 修改此进程的内存:WriteProcessMemory、VirtualProtectEx 执行:CreateRemoteThread 在这篇文章中,我们依据这一篇文章(https

继续阅读

G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞

发布于 作者:

G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞 Shangzhi Xu 安全研究GoSSIP 2025-06-09 14:11 “  穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱  。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,

继续阅读

分享Huntr上的几个大模型框架的漏洞

发布于 作者:

分享Huntr上的几个大模型框架的漏洞 原创 Shangzhi Xu SecNotes 2025-06-09 12:48 “  穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱  。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,其次是确实是有足够高的严重性才能被接收。 很多CVE相

继续阅读

记一次实战日穿整个系统getshell-共九个漏洞

发布于 作者:

记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12                               免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑

继续阅读

每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施

发布于 作者:

每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施 交大捷普 2025-06-09 10:10 2025[ 每周网安资讯 ]6.4-6.9 网安资讯 1、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》 为进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗

继续阅读

工具集:Sinject 【DLL+Shellcode的Windows注入免杀工具】

发布于 作者:

工具集:Sinject 【DLL+Shellcode的Windows注入免杀工具】 风铃Sec 2025-06-09 09:56 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】 0x01 工具介绍 只是罗列各种方法,免杀推荐搭配其他技巧,要具体灵活使用! 工具支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具,支持图形化界面;

继续阅读

价值 1,250 美刀 的主机标头注入

发布于 作者:

价值 1,250 美刀 的主机标头注入 原创 红云谈安全 红云谈安全 2025-06-09 09:55 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢!请在授权的站点测试,遵守网络安全法! 仅供 学习使用,如若非法他用,

继续阅读

DataEase 远程代码执行漏洞分析

发布于 作者:

DataEase 远程代码执行漏洞分析 重生之成为赛博女保安 2025-06-09 09:55 漏洞描述 DataEase  是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 漏洞影响版本:  DataEase < 2.10.10 漏洞详情:  在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC

继续阅读