前言开始CVE审计之旅WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管…
前文三篇文章主要强调了数据安全保护在数据空间需要保护的实体/半实体,主要侧重在理论层面,本篇文章结合国内的实际现状谈一下各个主体数据安全目前主要的关注点:一、个人层面,公众对于个人…
一、基本介绍概念:Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。适用:windows…
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它使得 JavaScript 可以脱离浏览器在服务器端运行。Node.js 利用事件驱动、非…
本文记录在一次SRC挖掘过程中发现的用户枚举导致了敏感信息泄露以及水平越权。难度不大,分享一些漏洞挖掘的思路。挖掘过程在翻阅资产的过程中,发现了一个某销售系统,并且没有验证码,感觉…
前言在nftales中存在着集合(sets),用于存储唯一值的集合。sets提供了高效地检查一个元素是否存在于集合中的机制,它可以用于各种网络过滤和转发规则。而CVE-2022-3…
新手小白在FreeBuf的第一篇文章,喷的时候轻点哈,作为小白,这个洞有很大的运气加成的。一、五一闲来无事(我真不想出去玩),找个edu站看了一下现在挖web的已经很少了,基本都去…
公司介绍VulnCheck是一家漏洞情报公司,主要业务是帮助企业、政府组织和网络安全供应商解决漏洞优先级的挑战。VulnCheck 的平台可以提供全面、实时的漏洞和情报,并与独特的…
公司背景RAD Security是由Brooke Motta和Jimmy Mesta共同创立的云原生安全公司,其前身为Kubernetes 安全运营中心(KSOC)。于2022年2…
前话:对登录方法的轻视造成一系列的漏洞出现,对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。(文章厚码,请见谅)1. 寻找到目标站点的小程序进入登录发…