漏洞 证书cnvd
Black Hat USA 2023落幕回顾——安全AI成为关注焦点,漏洞利用衍生新议题。
如何成为最跟得上潮流的黑客高手?= ToDo List =第一步:打开电脑的浏览器第二步:输入网址 — blackhat.com跳转!第三步:阅读学习BlackHat2023的全部演讲。 ......
AWS 提示证书签名过期无法自动更新
如果域名没有通过验证的话,证书的过去是没有办法自动更新的。 验证的方式也非常简单,通过下面的配置,把 CNAME添加到你的域名上面,AWS 就可会自动完成验证了。 当添加完成后,AWS 验证需要的时间大致在 30 分钟到 1 个小时的样子。 https://www.ossez.com/t/aws/1 ......
smartbi token回调获取登录凭证漏洞
2023年7月28日Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。 于是研究了下相关补丁并进行分析。 ......
任何人都可被悄悄添加为公司“法人”!媒体曝多个政务App存在重大安全漏洞
张女士从未到过湖南株洲,却发现自己名下有一家个体工商户,且该公司位于千里之外。她报警和反馈后得知,该个体户是通过网上办理并进行了实名验证,合法合规。然而这不是个例,黑龙江一名男子无故成为河北一家公司的独资股东,并承担了该公司拖欠641万元税款的责任;重庆一位教师发现自己莫名成为山东一家公司的法人,导 ......
远程代码执行漏洞
远程代码执行:Remote Code Execute 同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。 不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。 因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内容进行 ......
OpenSSH版本升级漏洞修复问题
- 👋 Hi, I’m @Merbelue 大家好,这篇为大家介绍二进制方式对OpenSSH版本升级,在生产环境中可用于解决版本升级、漏洞修复等。 @[TOC](目录) #### 1、环境 - 系统版本:CentOS 7.6 - OpenSSH、OpenSSL版本:OpenSSH_7.4p1、Op ......
带你读论文丨Fuzzing漏洞挖掘详细总结 GreyOne
本文分享自华为云社区《[论文阅读] (03) 清华张超老师 - Fuzzing漏洞挖掘详细总结 GreyOne》,作者: eastmount。 一.传统的漏洞挖掘方法 演讲题目: 数据流敏感的漏洞挖掘方法 内容摘要: 模糊测试近年来成为安全研究人员的必备的漏洞挖掘工具,是近年来漏洞披露数量爆发的重要 ......
QQ9.7.13版本以及下RCE漏洞
## 00、声明: 本文仅仅作为学习漏洞原理,为了更好的防范利用漏洞进行的攻击行为,**请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》** ## 01、漏洞环境 攻击方和受害方双方均为windowsQQ9.7.13版本及以下 复现时间:**20 ......
Web安全漏洞解决方案
1.已解密的登录请求 推理: AppScan 识别了不是通过 SSL 发送的登录请求。 测试请求和响应: 1.1.1 产生的原因 登录接口,前端传入的密码参数没有经过md5的加密就直接传给了后端 1.1.2 解决方法 前端代码传参的时候做md5加密处理 2.会话标识未更新 推理: 测试结果似乎指示存 ......
XXE漏洞
XXE漏洞 xml external entity injection外部实体注入 $xml = simplexml_load_string($data);//运行xml语句 危害: 可以读取磁盘上的文件 <?xml version="1.0" encoding="utf-8"?><!doctype ......
k8s 证书有效期查看
openssl x509 -noout -text -in root-ca.pem TRANSLATE with x English Arabic Hebrew Polish Bulgarian Hindi Portuguese Catalan Hmong Daw Romanian Chinese ......
HBuilderX获取iOS证书的打包步骤
简介: 目前app开发,很多企业都用H5框架来开发,而uniapp又是这些h5框架里面最成熟的,因此hbuilderx就成为了开发者的首选。然而,打包APP是需要证书的,那么这个证书又是如何获得呢? 生成苹果证书相对复杂一些,所以这里我重点说下ios证书的生成流程 目前app开发,很多企业都用H5框 ......
hbuilderx打包苹果证书获取步骤
hbuilderx打包苹果证书获取步骤 简介: 目前app开发,很多企业都用H5框架来开发,而uniapp又是这些h5框架里面最成熟的,因此hbuilderx就成为了开发者的首选。然而,打包APP是需要证书的,那么这个证书又是如何获得呢? 生成苹果证书相对复杂一些,所以这里我重点说下ios证书的生成 ......
为操作系统配置 G2 证书
上周将服务器的 SSL 证书更换后,部分客户出现了 https 通讯报错(c# + WPF应用程序),用浏览器访问一切正常,用 c# 访问就不认这个证书。 后来发现阿里的证书做了调整,以前都 CA 证书,现在换成了 G2 证书:https://help.aliyun.com/zh/ssl-certi ......
WAF绕过-漏洞利用之注入上传跨站绕过
SQL注入 使用如sqlmap等工具注入时,为防止CC拦截,修改数据包us头模仿爬虫,或使用代理池 安全狗:参考之前payload Aliyun:基本修改指纹即可 宝塔:匹配关键字,包括“/*”,注入语句的每个“/*”都改为“%00/*” sqlmap语句示范:sqlmap --proxy="htt ......
XXE漏洞--xml基础知识
一、XML基础知识 可以用于配置文件、交换数据 要求: XML文档必须有根元素 XML文档必须有关闭标签 XML标签对大小写敏感 XML元素必须被正确嵌套 XML属性必须加引号 DTD(Document Type Definition) 文档类型定义 自动校验格式内容,元素ELEMENT校验 实体E ......
漏洞学习的思路
1、漏洞的发生原因是什么?定义是什么?2、怎么确定是否存在这个漏洞?怎么发现这种漏洞?3、漏洞会造成什么危害?4、如何防御和修复这种漏洞?5、有防御措施的情况下,怎么绕过这种漏洞? ......
TLS证书文件创建
##################################################### # # 创建CA X509 version 1.0根证书 # ##################################################### #创建证书存放目录 C ......
以二进制文件安装K8S之创建CA根证书
为etcd和Kubernetes服务启用基于CA认证的安全机制,需要CA证书进行配置。 如果组织能够提供统一的CA认证中心,则直接使用组织颁发的CA证书即可。如果没有统一的CA认证中心,则可以通过颁发自签名的CA证书来完成安全配置。 如下以通过颁发自签名的CA证书来完成安全配置。 etcd和Kube ......
申请部署阿里云SSL免费证书
使用宝塔自动创建的证书有时候会报NET::ERR_CERT_COMMON_NAME_INVALID,并且每次只能三个月,需要点击续期非常麻烦,容易遗忘。 阿里云免费SSL证书 前往阿里云管理控制台【数字证书管理服务】【SSL证书】,每年20个额度,一年后会过期失效 填写申请的域名 申请成功后,刷新列 ......
使用antsword上传文件漏洞到upload靶场之三
使用antsword上传文件漏洞到upload靶场之三 Pass-11 先观察一下代码,发现save_path是一个可控的变量,但是后面还拼接上一个后缀名,也需要绕过。这个时候可以使用%00截断 00截断原理 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结 ......
使用appuploader工具发布证书和描述性文件教程
使用APPuploader工具发布证书和描述性文件教程 之前用AppCan平台开发了一个应用,平台可以同时生成安卓版和苹果版,想着也把这应用上架到App Store试试,于是找同学借了个苹果开发者账号,但没那么简单,还要用到Mac电脑的钥匙串申请发布证书和上传ipa,可没有Mac,同学的大老远的也不 ......
使用appuploader工具发布证书和描述性文件教程
使用appuploader工具发布证书和描述性文件教程 使用APPuploader工具发布证书和描述性文件教程 之前用AppCan平台开发了一个应用,平台可以同时生成安卓版和苹果版,想着也把这应用上架到App Store试试,于是找同学借了个苹果开发者账号,但没那么简单,还要用到Mac电脑的钥匙串申 ......
命令执行漏洞
## 命令执行漏洞 **RCE:**远程命令/代码执行漏洞 #### 一、命令执行漏洞描述 ###### 1.描述 系统命令执行是指应用程序对传入命令行的参数过滤不严格导致恶意用户能控制最终执行的命令。应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exe ......
漏洞修复访问控制方法-目的是为了躲避上面检查
```c #!/bin/bash # 2022年9月19日14点58分 # 设置环境变量 . /etc/init.d/functions export PATH=$PATH:/bin:/sbin:/usr/sbin export LANG="en_US.UTF-8" source /etc/prof ......
使用antsword上传文件漏洞到upload靶场之二
使用antsword上传文件漏洞到upload靶场之二 Pass-02 查看源码,我们可以发现此处没有对文件类型进行校验,我们可以直接在bp更改文件类型的方式进行绕过 Bp抓包 右键空白处,发送到repeater,更改图中灰色标记处的文件类型,点击发送,发现可以直接上传成功 找到上传文件的路径 使用 ......
文件上传漏洞的利用流程与防御
1、找到上传位置(寻找到源码可以通过upload等名字辨别) 如果没有上传位置 (1)、可以利用Redis持久化+未授权访问漏洞 (2)、使用mysql 读写 select into file(补充) 2、尝试绕过校验,上传文件 一些绕过方式:删除/禁用js、修改MIME、等价扩展名、大小写、hta ......
一分钟快速申请 iOS 证书及描述文件工具
我们在开发 iOS 应用中,要用到各样的证书,在开发者中心创建这些证书比较麻烦,最气的是开发者中心的访问速度时快时慢,经常为了创建一个证书花费大量时间,而且也还要 Mac 电脑钥匙串,下面介绍在 Windows 环境下不用钥匙串迅速创建 iOS 各类证书及描述文件的方法。 这里用到一个工具 Appu ......
在线一键生成安卓证书keystore 文件
在线一键生成安卓证书 keystore 文件 一般的打包工具都会有默认的安卓证书提供,但如果你需要上架需要用自己申请安卓证书 keystore 文件打包 apk 现有方便方便的工具,直接在网页就可以申请安卓证书,秒搞定。 首先打开这个网页 http://www.applicationloader.n ......