漏洞 潜在api money
Apache HTTP Server mod_proxy SSRF漏洞复现CVE-2021-40438
# Apache HTTP Server mod_proxy SSRF漏洞复现CVE-2021-40438 ## 漏洞利用 `利用条件:`apache v2.4.48及以下版本 `paylaod:可改-SSRF` ``` GET /?unix:AAAAAAAAAAAAAAAAAAAAAAAAAAAA ......
Nginx文件名逻辑漏洞复现CVE-2013-4547
# Nginx文件名逻辑漏洞复现CVE-2013-4547 ## 前置知识 本次针对的是中间件Nginx `Nginx是什么?` > Nginx(发音为“engine-x”)是一个高性能的开源Web服务器软件。它以异步事件驱动的方式处理客户端请求,具有占用资源 > 少、处理并发连接能力强和稳定性高等 ......
Apache HTTPd换行解析漏洞复现CVE-2017-15715
# Apache HTTPd换行解析漏洞复现CVE-2017-15715 ## 漏洞利用 `漏洞利用条件` > Apache: 2.4.0~2.4.29 > > 实际存到后端时的文件名可控 `漏洞利用方式` > bp中更改存放到后端的文件名 > > 假设 > > ``` > 原文件名为"evil.p ......
漏洞扫描是什么?怎么做?
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描按扫描器所处位置,可分为内网扫描和外网扫描。而按照工作方式,又可以将漏洞扫描分为远程扫描和本地扫描。顾名思义,远程扫描和本地扫描的区别在于是否登陆目 ......
vue3 组合式 api 单文件组件写法
本篇博文将深入介绍 Vue3 组合式 API 和单文件组件的写法。我们将从安装和配置 Vue3 开始,然后逐步详细展示如何创建一个简单的单文件组件。除此之外,我们还将讨论使用组合式 API 的常见模式和技巧,例如响应式状态管理、替代生命周期钩子函数的方法、自定义组合式 API、数据的响应式处理和侦听... ......
通过微软Azure调用GPT的接口API-兼容平替OpenAI官方的注意事项
众所周知,我们是访问不通OpenAI官方服务的,但是我们可以自己通过代理或者使用第三方代理访问接口 现在新出台的规定禁止使用境外的AI大模型接口对境内客户使用,所以我们需要使用国内的大模型接口 国内的效果真的很差,现在如果想使用GPT大模型,可以使用微软Azure的OpenAI服务。 负责任的AI ......
【转载】c++调用win32API控制打印机打印
原文:https://blog.csdn.net/cheng448208985/article/details/55510687 win32实现将原始数据发送给打印机 1、调用OpenPrinter()打开打印机,获取打印机句柄。 2、初始化DOCINFO打印机结构体。 3、调用StartDocPr ......
漏洞复现-深信服DC数据中心管理系统 XXE漏洞
0x01产品简介 深信服是数据中心管理系统是DC为AC饿外置数据中心,主要用于海量日志数据的异地扩展备份管理,多条件的组合的高效查询,统计和趋势报表生成,设备运行状态监控等功能。 0x02漏洞概述 深信服是数据中心管理系统DC存在xml外部实体注入漏洞。由于后端对传入的xml对象进行了非预期内解析, ......
漏洞复现-绿盟 NF下一代防火墙 任意文件上传漏洞
漏洞描述: 绿盟 SSLVPN 存在任意文件上传漏洞,攻击者通过发送特殊的请求包可以获取服务器权限,进行远程命令执行 漏洞影响: 绿盟 SSLVPN 网络测绘: app="NSFOCUS-下一代防火墙" 出现漏洞的端口为 8081 1 2 3 4 5 6 7 8 9 10 POST /api/v1/ ......
漏洞复现-金蝶云星空任意文件读取
0x01 产品简介 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴 ......
【转载】使用c++调用windows打印api进行打印的示例代码
原文: https://www.jb51.net/article/189553.htm 前言 在近期开发的收银台项目中,需要使用打印机进行小票打印,打印流程的时序图如下所示: 在客户的使用过程中,遇到一个问题,如果机器安装了打印机驱动,那么调用厂商提供的 sdk 进行打印的话,会导致出现小票只打印一 ......
1分钟看懂:什么是0day、1day和nday漏洞?
把应用系统比作是保险柜,假如保险柜破了一个洞,这个洞只有少数人知道,没有传播开来,也暂时没有补救的措施,那这个洞就是0day漏洞。 也就是说,这个漏洞处于相对“未知”的状态,一旦被用来发起攻击的话,就会面临“没有补丁”的情况。 而1day呢,就是有洞的问题已经被公开了,保险柜主人也正在组织人来补洞, ......
漏洞复现-金蝶云星空任意文件读取
0x01 产品简介 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴 ......
springmvc 开启异步请求报错 Java code using the Servlet API or by adding "true" to servlet and filter declarations in web.xml.
报错内容: java.lang.IllegalStateException: Async support must be enabled on a servlet and for all filters involved in async request processing. This is do ......
漏洞复现-深信服DC数据中心管理系统 XML注入漏洞
0x01产品简介 深信服是数据中心管理系统是DC为AC饿外置数据中心,主要用于海量日志数据的异地扩展备份管理,多条件的组合的高效查询,统计和趋势报表生成,设备运行状态监控等功能。 0x02漏洞概述 深信服是数据中心管理系统DC存在xml外部实体注入漏洞。由于后端对传入的xml对象进行了非预期内解析, ......
API技术的使用场景
互联网的发展和普及,API技术也变得越来越重要。API是应用程序接口,它是一种连接不同应用程序或系统之间数据交换和通信的方式。API技术不仅提高了不同应用程序之间的互操作性,还加速了应用程序的开发和部署。本文将探讨API技术在不同场景下的应用。 一、社交媒体 社交媒体是API技术最常用的场景之一 ......
RedisTemplate常用API
1.String 新增数据 set(K key, V value) //key:键 value:值 set(K key, V value, long offset) //offset:根据下标覆盖 set(K key, V value, long timeout, TimeUnit unit) // ......
JimuReport v1.6.1版本发布,修复 Freemarker 模板注入高危漏洞
## 1.6.1 ### 2023-08-16 #### 更新 ##### #升级日志 > 【漏洞通知】修复Freemarker注入漏洞,危害等级:高危 > > 描述:Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。 ###### Issues处理 - ......
使用antsword上传文件漏洞到upload靶场
使用antsword上传文件漏洞到upload靶场 首先我们先安装好antsword 1. 打开AntSword-Loader-v4.0.3-win32-x64 找到AntSword.exe打开 2. 初始化选择压缩包的另外一个文件夹 antSword-master 3. 成功进入antsword界 ......
漏洞仓库
| 漏洞 | 触发url | 方法 | 匹配词 | 用途 | 详情 | | | | | | | | | espcms_utf8_v5.7.13.08.15存在CSRF | http://192.168.230.148/espcms/adminsoft/index.php?archive=member ......
文件上传漏洞
webshell 一句话木马 eval($_POST['muma']); system函数可以执行操作系统的命令 代码短,只有一行代码。 场景多,可以单独生成文件,也可以插入到图片中。 安全性高,隐藏性强,可变形免杀 小马 体积小,功能少,只有文件上传功能,为大马做铺垫。 大马 体积大,功能全,能够 ......
【漏洞通知】JeecgBoot 修复Freemarker模板注入漏洞, 漏洞危害等级:高危
> Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。 **JeecgBoot官方已修复,建议大家尽快升级至相关底层依赖和源码** ## 一、漏洞描述 Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。漏洞危 ......
Smartbi 修改用户密码漏洞
漏洞简介 通过查看 Smartbi 的补丁包信息,发现存在漏洞在某种特定情况下修改用户的密码,进行简单的复现和分析 漏洞复现 在页面上修改密码时,需要知道原本的用户对应的密码 直接构造这样的数据包,就不需要知道原本的密码,知道用户名就可以修改密码 POST /smartbi/vision ......
如何快速便捷收集市场信息?电商API来帮你
电商API(Application Programming Interface,应用程序编程接口)是为了促进不同电商平台之间数据共享和交互而设计的一种技术。通过使用电商API,可以快速便捷地收集市场信息,提升电商运营效率,增加竞争力。 一、电商API的作用1. 数据获取与收集:通过电商API,可以方 ......
WPS RCE漏洞 学习
# 复现过程 2023 年 HW 出现 WPS 0day POC ![image](https://img2023.cnblogs.com/blog/2601339/202308/2601339-20230815144722947-1710083870.png) 影响版本: ``` WPS Offi ......
利用高德地图 API自动生成电子围栏
#### 大致思路 * 绘制和导航 需要高德 KEY 自己去注册申请 * 使用高德步行导航找到围栏的多边形的拐点 * 绘制多边形 #### 小试牛刀 利用高德地图在紫禁城画个圈 ``` 紫禁城画个圆圈 开始编辑 结束编辑 ``` ![](https://img2023.cnblogs.com/blo ......
Apache Flink目录遍历漏洞复现CVE-2020-17519
# Apache Flink目录遍历漏洞复现CVE-2020-17519 ## 前置知识 `Apache Flink:` > Apache Flink 是一个框架和分布式处理引擎,用于在*无边界和有边界*数据流上进行有状态的计算。Flink 能在所有常见集群环境中运行,并能以内存速度和任意规模进行计 ......
为什么 API 治理需要内部倡导
API 治理旨在帮助人们通过 API 实现最大价值。但是,只有了解 API 是什么以及 API 的重要性,并且认识到 API 治理是在帮助他们而不是监管他们,才能实现这一目标。这就是为什么在任何 API 治理举措中都必须包括内部 API 倡导的关键原因。 一个 API 治理计划必须包括 API 倡导 ......
使用网易云音乐的开放 API
## 准备源数据 以 Rick Astley 的 Never Gonna Give You Up 为例, 首先在客户端或网站上获取歌曲的播放地址, 通常是像这样: "http://music.163.com/#/m/song?id=5221167" 根据链接的基础知识, 我们可以把这个 URI 拆分 ......
华为云API Explorer:自动化运维的得力助手
华为云API Explorer为开发者提供一站式API解决方案统一平台,集成华为云服务所有开放API,支持全量快速检索、可视化调试、帮助文档、代码示例等能力,帮助开发者快速学习API,使用API开发代码实现自动化运维。 ......