漏洞 证书cnvd

##**前言** 序列化（Serialization）：将对象的状态信息转换为可以存储或传输的形式的过程，一般将对象转换为字节流。序列化时，对象的当前状态被写入到临时或持久性存储区（文件、内存、数据库等）。 反序列化（Deserialization）：从序列化的表示形式中提取数据，即把有序字节流恢复 ......

Azure Active Directory(Azure AD)支持两种类型的身份验证：基于Password的身份验证和基于Certificate的身份验证。虽然可以通过Azure Portal或者Microsoft API(Microsoft Graph)创建Password，但长期保护Passw ......

### Spring Boot Actuator 未授权访问漏洞 #### 详细描述 > Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。 ## ......

@@rsa 密钥 生成 首先需要下载OpenSSL软件，一直点击下一步就好，链接： 链接：https://pan.baidu.com/s/1uHNpKGF9j9c1bQ6QAwtpOA提取码：myit（百度网盘分享无须官网下载，如若不好使请私信或者评论） 启动位置是在你软件安装的位置下，找到bin目 ......

5月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 微软.NET Core漏洞 漏洞详情：微软官方发布公告称，其.NET Core 2.1、3.1和5.0版本中存在一个漏洞（CVE-2023-31479），攻击者可以利用该漏洞在受影响的系统上查询、编辑、删除 ......

title: Flask（Jinja2） 服务端模板注入漏洞(SSTI) date: 2022-11-21T08:31:07Z lastmod: 2023-06-01T22:05:19Z tags: [Flask,SSTI,jinja2] # Flask（Jinja2） 服务端模板注入漏洞(SSTI ......

### Swagger API 未授权访问漏洞 #### 详细描述 > Swagger 是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法，参数和模型紧密集成到服务器端的代码，允许API来始 ......

## 以阿里云为域名供应商为例 **步骤 ：** ### 1. 给用户添加权限（云解析权限）  ### 2. 拿到 ......

借助 mkcert 和批处理命令生成局域网证书 自动获取ipv4，一键生成很方便 cd /d %~dp0 ipconfig |find "IPv4" > ipv4 set /p a=<ipv4 del ipv4 for /f "tokens=2 delims=:" %%a in ("%a%") do ......

1、堆叠查询注入 stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。在sql语句中以 ; 结束语句 mysql> select * from users; + + + + | id | username | password | + + + ......

问题描述： 使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 端点时，则可能存在被 CVE-2022-22947 漏洞利用的风险。攻击者可通过利用此漏洞执行 SpEL 表达式，允许在远程主机上进行任意远程执行。获取系统权限。 影响范围： 1、除了 ......

1、windows的短文件名机制 (1)介绍 为了兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名。 dir /x 列出当前目录的子目录和文件，以及相应的8.3兼容名称（如果有的话） win10，默认是没有开启8.3兼容特性，无法显 ......

发布时间 2023-05-04 22:18:52作者: 渗透测试中心 0x00 kkFileview存在任意文件读取漏洞 漏洞描述 Keking KkFileview是中国凯京科技（Keking）公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安 ......

以下指令适用于Centos7，用于添加自签名证书到系统根目录。 ```shell # 查看全部证书链，由于根证书是可选提供的，可能不能由这条命令获取到根证书 # openssl s_client -showcerts -connect xxx.com:443 # 只获取当前网站证书 harborUr ......

网址：http://test7.weeze.ru/prod_info.php?prodid=39&id=1 漏洞描述：Консервы外国购物网站存在sql注入漏洞，攻击者可利用该漏洞获取数据库信息。 漏洞复现：sqlmap工具 sql修复建议： 1)严格检查输入变量的类型和格式，对于整数参数，加判 ......

网址：http://www.nkbp.com/about.php?id=1 漏洞描述：远大生命科学（武汉）有限公司（原名“武汉大安制药有限公司”）是一家集药品研发、生产与销售为一体的高科技医药综合企业，位于武汉市东西湖区金银湖生态园，占地面积八万平方米。公司隶属于中国远大集团，是集团生物板块龙头单位 ......

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。 本周，我们带来的分享如下： 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的关键 关于三个 ......

# Linux Kernel 权限提升漏洞(CVE-2023-32233) 修复 2023年5月5日，MITRE发布了Linux Kernel 权限提升漏洞(CVE-2023-32233)：Linux Kernel 的 Netfilter nf_tables子系统存在释放后重用漏洞，在处理 Netf ......

1、加解密注入 sqli-labs-master(LESS-21)靶机示例 数据包抓包，找到cookie数据包 Cookie: uname=YWRtaW4%3D %3D是URL编码里的=，所以直接改为等号，在base64里解密 这里想要注入直接写and 1=1不现实，对admin' and 1=1加 ......

......

......

......

安装acme.sh 1：在线安装方式 curl https://get.acme.sh | sh -s email=my@example.com 或者 wget -0 - https://get.acme.sh | sh -s email=my@example.com 这里的-s参数指定的邮箱可以关 ......

漏洞扫描工具Nessus详细使用教程 zkzq于 2022-02-09 18:14:35 发布28574 收藏 195 分类专栏： 黑客工具 文章标签： 网络安全 web安全 渗透测试 版权 黑客工具专栏收录该内容 11 篇文章13 订阅 订阅专栏 零基础学黑客，搜索公众号：白帽子左一 1 原文地址 ......

近期，上海斯歌顺利通过权威机构审查，正式成为ISO9001质量管理体系和ISO27001信息管理安全体系双重认证企业。 可以说ISO9001及ISO27001的认证，既是斯歌坚持管理标准化、程序化、规范化的成果；也是国际标准化组织（ISO）依据我国相关产品质量标准及法规，对斯歌的产品质量、顾客满意度 ......

# 格式化字符串漏洞 ```c #include void main(){ char str[1024]; while(1){ memset(str,'\0',1024); read(0,str,1024); printf(str); fflush(stdout); } } # echo 0 > / ......

最近给网站配置了HTTPS，配置后发现系统需要登陆两次才能进入，而测试环境（没有配置SSL)没有这个问题,一通GOOGLE后问题解决了，这里记录一下： 如果网站配置 HTTPS SSL 证书后遇到了需要登录两次才能成功的问题，可能是由于缺少 cookie 安全标志导致的。 当启用 HTTPS SSL ......

逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险，本文从安全测试的角度，以越权逻辑漏洞为例，介绍逻辑漏洞的挖掘方法和实践过程。 ......

### 问题描述 好久没登测试机虚拟化平台，今天登录发现出现如下提示《进行身份验证过程中出错，返回登录屏幕》：  登 ......

[hvv蓝初面试常见漏洞问题（上）](https://www.cnblogs.com/Nuy0ah/p/17435483.html "hvv蓝初面试常见漏洞问题（上）") # 6.ssrf 服务端伪造请求 ## 原理 服务端提供了向其他服务器应用获取数据的功能，而没有对目标地址做任何过滤和限制。攻击 ......