Antoniiiia

摘要： 漏洞描述 1. 漏洞编号：CVE-2020-1957 2. 影响版本：Apache Shiro < 1.5.1 3. 漏洞产生原因： Shiro拦截器 Shiro框架通过拦截器功能来实现对用户访问权限的控制和拦截。Shiro中常见的拦截器有anon,authc等拦截器。 1.anon为匿名拦截器，不 阅读全文

摘要： 一、引言 在数字化时代，网络安全、信息安全和数据安全是保障企业和个人信息资产不受侵犯的重要领域。虽然这三个概念经常被提及，但它们之间存在着微妙的联系与区别。本文将详细阐述三者的定义、联系与区别，并介绍相关的认证。 二、网络安全、信息安全和数据安全的定义 （一）网络安全 定义：网络安全，是通过采取必要 阅读全文

摘要： 漏洞描述 1. 漏洞编号：CVE-2019-6116 2. 影响版本： Ghostscript 9.24之前版本 commit c47512e5e638d903d69925f7ebab4de2aa3f481f 之前的版本均受到影响 ghostscript作为图像处理格式转换的底层应用。 漏洞导致所有 阅读全文

摘要： 漏洞描述 GhostScript 是一套基于 Adobe Systems 的 PostScript 和 PDF 页面描述语言解释器的软件。它被许多图像处理库广泛使用，如 ImageMagick、Python PIL 等。 2018年8月21日，安全研究员 Tavis Ormandy 通过公开邮件列表 阅读全文

摘要： 漏洞描述 1.漏洞编号：CVE-2019-14234 2.影响版本： 1.11.x before 1.11.23 2.1.x before 2.1.11 2.2.x before 2.2.4 3.漏洞产生原因： Django通常搭配postgresql数据库，而JSONField是该数据库的一种数据 阅读全文

摘要： 基础知识 越权渗透： 越权（Unauthorized Access）是指用户在系统中执行了超出其权限范围的操作，访问了本不应访问的数据或功能。 这种行为通常是由于系统在权限验证环节存在缺陷，导致攻击者能够利用漏洞获取未授权的资源或执行未授权的操作。 题目 1. 垂直越权 进入页面，提示请登录，然后转 阅读全文

摘要： 文件上传漏洞 (一) 漏洞概念 文件上传漏洞是一种常见的Web安全漏洞，主要指攻击者通过Web应用程序的文件上传功能，上传恶意文件（如木马、病毒、WebShell等），从而获得对服务器的控制权。这种漏洞通常由于开发者在实现文件上传功能时，未能充分考虑安全性，导致恶意文件被上传并执行。 (二) 漏洞原 阅读全文

摘要： Windows系统虚拟机的加固 0. Windows配置的途径 组策略（gpedit.msc） 命令（cmd或powershell中执行，或者编写bat、ps文件执行） 注册表（regedit） 配置文件（位置和文件名各不相同） 1. 账户管理和认证授权 1.1 账户 1.1.1 默认账户安全 禁用 阅读全文

摘要： 1. 下载并部署 btslab 靶场 2. 下载 seay 3. 使用 seay 审计 ·打开 Seay 源代码审计系统.exe ·新建审计项目 ·进行自动审计 4.非框架代码审计小结 3 种审计方式： ·代码通读审计 ·危险函数审计 ·关键功能及代码对照审计 5.利用 seay 审计出 btsla 阅读全文

摘要： 基础知识 1. SSRF： SSRF（Server-Side Request Forgery，服务端请求伪造）是一种网络安全漏洞，攻击者通过该漏洞可以利用服务器端的应用程序发起伪造的请求。 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（因为它是由服务端发起的，所以它能够请求到与它相连而 阅读全文