漏洞名称：跨站请求伪造（CSRF） 漏洞描述： 跨站请求伪造攻击，Cross-Site Request Forgery（CSRF），攻击者在用户浏览网页时，利用页面元素（例如img的src），强迫受害者的浏览器向Web应用服务器发送一个改变用户信息的HTTP请求。CSRF攻击可以从站外和站内发起。从站内发起CSRF攻击，需要利用网站本身的业务，比如‚自定义头像‛功能，恶意用户指定自己的头像URL是一个...

漏洞名称：Json hijacking 、Json劫持漏洞、Json注入攻击 漏洞描述： JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成，这种纯文本的数据交互方式由于可以天然的在浏览器中使用，所以随着ajax和web业务的发展得到了广大的发展，各种大型网站都开始使用，包括Yahoo，Google，Tencent，...

文章目录 一、什么是漏洞扫描设备二、漏洞扫描设备的主要功能三、漏洞扫描设备的主要技术四、漏洞扫描设备的主要类型五、漏洞扫描设备的使用方式六、漏洞扫描设备如何与其他安全设备联动七、漏洞扫描设备的应用场景 漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。关于什么是漏洞及如何管理漏洞请参考《 安全运营之漏洞管理》。漏洞的形成原因有很多，例如后...

免责声明 本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢！ 正文 1.环境搭建 docker-compose搭建，下载地址： https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2023-21839...

O2OA invoke 后台远程命令执行漏洞 CNVD-2020-18740 漏洞描述 O2OA是一款开源免费的企业及团队办公平台，提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能，满足企业各类管理和协作需求。 O2OA系统invoke 接口存在远程代码执行漏洞。攻击者可利用漏洞执行任意代码。 漏洞影响 O2OA 网络测绘 ti...

漏洞名称 ：命令注入 漏洞描述：Command Injection，即命令注入攻击，是指由于Web应用程序对用户提交的数据过滤 不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至Web应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。在命令注入的漏洞中，最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具...

漏洞名称 ：SQL注入 、SQL盲注 漏洞描述：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。 造成SQL注入漏...

CNVD-ID:     CNVD-2024-01190 漏洞描述:     RPCMS是一个应用软件，一个网站CMS系统。     RPCMS v3.5.5版本存在跨站脚本漏洞，该漏洞源于组件/logs/dopost.html中对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。 漏洞复现:         1、"设置"->"基本设置"->"...

2023年，随着勒索软件和APT组织纷纷调整攻击策略，零日漏洞攻击快速升温并有望在2024年延续这一趋势。 根据谷歌威胁分析小组今年7月发布的报告，2021年野外利用零日漏洞数量（69个）创下历史新高后，2022年有所下滑，但2023年随着重大零日漏洞利用事件的大幅增长，零日漏洞攻击重新升温，从商业间谍到勒索软件攻击，零日漏洞被广泛使用。 零日漏洞利用对攻击者的财力或技能有着很高要求，但是“零日漏洞...

漏洞名称：XML注入 漏洞描述：可扩展标记语言 (Extensible Markup Language, XML) ，用于标记电子文件使其具 有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集，非常适合Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用...