卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后,谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783,攻击者通过Chrome安全框架与Wi…
前言好久没写漏洞分析文章了,这里就拿一个没有完全公开的用友U8 Cloud漏洞分析来展开话题吧漏洞全称是:用友 U8cloud所有版本移动报表mobilereport接口存在SQL…
最近发现SQL搞的的比较多,这不,在日常工作中又发现了一个登录框,话不多说,搞搞看看存不存在SQL注入。输入用户名密码开始抓包可以看出用户名密码都进行了加密这个时候,我们输入单引号…
ReconnaissanceNmap是一个免费的、开源的、功能强大的工具,用于发现计算机网络上的主机和服务,使用 Nmap扫描,以识别在特定端口上运行的所有服务。Nmap具有许多功…
![[Meachines] [Medium] DevOops XXE-XML-RSS+cPickle反序列化+git-leak权限提升缩略图](https://www.4awl.net/wp-content/cache/thumbnails/2025/03/cd0704d0ca85da630be4aa18823847-400x280-c.jpg "[Meachines] [Medium] DevOops XXE-XML-RSS+cPickle反序列化+git-leak权限提升缩略图")
Information GatheringIP AddressOpening Ports10.10.10.91TCP:22,5000$ ip='10.10.10.91'; itf=…
前言在一次测试过程中,遇到了一个公司的应用全部采用SSO登录的情况,所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中,用户只需要登录一次就可以…
Cloudflare近日推出了名为“AI迷宫”的创新工具,旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中,来应对这些恶意爬虫。该工具于2025年3月19日发布,…
利用工具 + Burp靶场 + CVE案例 + 攻击技巧 + 其他场景案例0X01JWT是什么?JWT,全称是 JSON Web Token,是一种用于身份验证和信息传递的令牌。简…
Next.js React 框架近日披露了一个严重的安全漏洞,攻击者可在特定条件下利用该漏洞绕过授权检查。该漏洞被标记为 CVE-2025-29927,其 CVSS 评分为 9.1…
很快啊~马上又到了各大单位搞HW的时间段了,这不,为了面临即将到来的hw,我这边的客户,又让我针对单位资产开展一波渗透测试了,而且让我先对资产在进行一波探测,哎,作为苦逼的乙方,能…