态势感知之漏洞运营 漏洞解析

态势感知之漏洞运营

漏洞管理是每个企业安全建设中首先要完成并且不可或缺的安全能力。它能帮助企业预防有可能发生的入侵事件。当然漏洞管理工作也需要和其它安全组件配合才能提前它的安全价值。在安全预防方面,需要和主机合规基线、网络威胁漏洞扫描程序配合,在入侵检测方面...
NEW
WebDAV曝目录写权限漏洞 网站源代码面临泄露风险 漏洞解析

WebDAV曝目录写权限漏洞 网站源代码面临泄露风险

近日,360网站安全检测平台发布紧急安全通告称,应用广泛的通信协议WebDAV存在目录写权限高危漏洞,者可上传任意文本文件,怎么做网站并结合服务器解析漏洞达到上传WebShell的目的,最高可能导致源代码泄露。经360网站安全检测的取样分析和研究,预估全国范...
NEW
回归最本质的信息安全 漏洞解析

回归最本质的信息安全

2015年5月,安全研究人员在Red Hat Enterprise Linux多个版本DHCP客户端软件包的NetworkManager集成脚本中发现了命令注入漏洞(CVE-2018-1111)。攻击者借助该漏洞,可以通过恶意DHCP服务器或本地网络上的恶意构造DHCP响应来实现攻击。 Linux多个版本DHCP客...
NEW
struts2-057扫描工具 漏洞解析

struts2-057扫描工具

wsdigger,一款非常好用的service接口安全扫描工具,已确认可以正常使用。不用注册,就可以使用。操作也非常简单。 1.无限设置多个关键词和长尾词,软件会自动使用搜索智能引擎搜索,获取结果的域名进行网站空间文件扫描。 2.智能引擎搜索支持多种主流搜索引...
NEW
疯猫网络漏洞扫描 漏洞解析

疯猫网络漏洞扫描

对企业与个人的多种资产进行专业的漏洞扫描,包括但不限于:Web应用、主机、中间件、弱密码 根据资产业务智能调整扫描速度;安全专家7*24小时监控网络最新漏洞,实时快速响应 丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的...
NEW
服务器报的漏洞解决办法 漏洞解析

服务器报的漏洞解决办法

在这分享一波昨天公司服务器漏扫出来的一些漏洞及解决方法:一、Redis未授权访问漏洞描述:以上两个漏洞主要是因为redis安全配置不严谨,应用层面权限过于开放,认证方式没有配置解决方案:方案:修改re... 购买阿里云服务器后,一段时间,会发钱提示高危漏洞,...
NEW
如何侵入服务器 漏洞解析

如何侵入服务器

找到IP就好办了,就相当于网络世界上找到了你家一样。接下来我们得先明白这这是一个什么样的家,是Win操作系统还是Linux操作系统还是其他。 这家里提供了什么服务。 比如搭建网站要Nginx,或者Apache,或者iis,这些容器会有一些解析漏洞。php,asp,jsp脚本...
NEW
如何修复linux服务器的openssh漏洞 漏洞解析

如何修复linux服务器的openssh漏洞

今天本小编介绍一下自己如何安全稳妥的修复linux服务当中出现的openssh漏洞 今天本小编分享一下自己如何安全稳妥的修复linux服务当中出现的openssh漏洞 如何你用ssh远程登陆主机来进行修复的话可能会在重启openssh的过程中中断链接,甚至,在首次重启openssh...
NEW
IIS 60曝远程代码执行漏洞 安全狗可拦截 漏洞解析

IIS 60曝远程代码执行漏洞 安全狗可拦截

据报告称去年七月起就有攻击者开始利用。建议大家通过扫描检查相关业务系统,并增加 waf 规则或禁用 webdav 特性。 由于开启WebDAV服务就存在该漏洞,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。...
NEW
【漏洞分析】CVE-2017-7269:IIS60远程代码执行漏洞分析及Exploi 漏洞解析

【漏洞分析】CVE-2017-7269:IIS60远程代码执行漏洞分析及Exploi

发现人员:Zhiniang Peng和Chen Wu(华南理工大学信息安全实验室,计算机科学与工程学院) 漏洞简述:开启WebDAV服务的IIS 6.0被爆存在缓存区溢出漏洞导致远程代码执行,目前针对 Windows Server 2003 R2 可以稳定利用,该漏洞最早在2016年7,8月份开始在野外...
NEW
原理大盘点身为网安从业者必须烂熟于心的web应用的漏洞! 漏洞解析

原理大盘点身为网安从业者必须烂熟于心的web应用的漏洞!

本文主要介绍web应用的常见的漏洞,从原理入手,了解其成因和可能导致的危害,从而进行有效的防御。希望对web安全感兴趣的小伙伴有所帮助。 SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。...
NEW
apache、nginx、Tomcat、IIS引擎解析漏洞 漏洞解析

apache、nginx、Tomcat、IIS引擎解析漏洞

#当黑客入侵成功后,将直接获得一个高权限的shell #应用程序将具有较高的权限,当出现bug时会带来较高的风险,比如删除本地重要文件, 杀死进程等不可预知的结果 Apache的log文件会记录所有入侵痕迹, 默认路径为安装目录下的/apache-20/logs/access.log tes...
NEW
CVE-2019-12384漏洞分析及复现 漏洞解析

CVE-2019-12384漏洞分析及复现

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞的复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权...
NEW
有关网络安全漏洞披露管理的现状分析与建议 漏洞解析

有关网络安全漏洞披露管理的现状分析与建议

工业和信息化部6月18日发布了《网络安全漏洞管理规定(征求意见稿)》(以下简称意见稿),征求意见稿条文不多,共12条,旨在通过系统地规范网络产品、服务和系统的安全漏洞报告、收集、信息发布、验证、修补或防范等行为,保证网络产品、服务和系统的漏洞得...
NEW
Discuz!ML 3x任意代码执行漏洞之大佬分析之后我分析 漏洞解析

Discuz!ML 3x任意代码执行漏洞之大佬分析之后我分析

首先附上米斯特安全大佬们文章的链接,刚开始有些东西我没看的太懂,于是我就再添了点东西,希望像我一样的小白也能看懂。 漏洞原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 根据米斯特大佬们提供的...
NEW
CVE-2019-9041: 从CSRF到Getshell漏洞分析 漏洞解析

CVE-2019-9041: 从CSRF到Getshell漏洞分析

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 无意中看到vulnhub新放了一个Csrf大礼包,集合多个最新的csrf to getshell的cve!所以拿这个系统做一个系列关于Csrf的代码审计之路...
NEW
PHPCMS2008 typephp代码注入高危漏洞预警 漏洞解析

PHPCMS2008 typephp代码注入高危漏洞预警

11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改、数据泄漏、服务器被远程控制等一系列严重问题。建议受影响用户尽快升级到最新版本修复。 PHPCMS网站内容管理系统是...
NEW
什么是最佳的生物安全?99%猪场都存在这些细微漏洞! 漏洞解析

什么是最佳的生物安全?99%猪场都存在这些细微漏洞!

我们知道精液也是传播蓝耳病的途径,所以我们一定要从蓝耳病阴性的公猪站来获取精液;我们也知道不应该将生的或者鲜的肉制品带到猪场去,因为我们知道猪肉有可能是带有病原和病毒的。在我们了解了这些之后,我们会在猪场针对每一个生物安全的风险因素设计了...
NEW
影响数千网站的第三方JavaScript库文件漏洞分析 漏洞解析

影响数千网站的第三方JavaScript库文件漏洞分析

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担 当前,很多网站都会使用第三方特定Java库的方式来增强网站的显示应用功能,通常情况下,这种嵌入到网站中的库可以方便直接地从第三方...
NEW