摘要:
本文深入探讨了API安全中的业务逻辑滥用攻击。它解释了攻击者如何利用API的预期功能逻辑而非技术漏洞,通过绕过支付步骤、操控数据等方式实施攻击,并介绍了Wallarm平台如何通过行为异常检测和规范执行等高级技术进行防护。 阅读全文
posted @ 2025-12-08 23:33
qife
阅读(2)
评论(0)
推荐(0)
摘要:
本文详细分析了CVE-2025-10971漏洞,该漏洞存在于MeetMe移动应用中,涉及敏感信息的不安全存储,可能导致攻击者获取嵌入式敏感数据。文章涵盖了漏洞概述、影响版本、CVSS评分及解决方案。 阅读全文
posted @ 2025-12-08 22:16
qife
阅读(3)
评论(0)
推荐(0)
摘要:
本文详细分析了openSIS社区版8.0中存在的SQL注入漏洞(CVE-2021-40617),提供了完整的漏洞利用证明和复现步骤,涉及通过ForgotPassUserName.php参数注入的具体攻击向量。 阅读全文
posted @ 2025-12-08 20:06
qife
阅读(3)
评论(0)
推荐(0)
摘要:
本文详细分析了CVE-2025-64983漏洞。该漏洞存在于SwitchBot智能可视门铃旧版固件中,由于遗留了活跃的调试代码,攻击者可通过Telnet连接并获取设备访问权限,导致远程代码执行风险。 阅读全文
posted @ 2025-12-08 19:15
qife
阅读(3)
评论(0)
推荐(0)
摘要:
数据脱敏是一种保护敏感信息的安全技术,通过替换、打乱或置空等方式修改数据,使其可在非生产环境中安全使用。本文详细解析了数据脱敏的工作原理、静态/动态/即时三种类型、多种实施技术(如置乱、替换、洗牌等)以及行业最佳实践。 阅读全文
posted @ 2025-12-08 18:16
qife
阅读(2)
评论(0)
推荐(0)
摘要:
本文详细分析了CVE-2025-11782漏洞,这是一个存在于Circutor SGE-PLC1000/SGE-PLC50 v9.0.2版本中的栈缓冲区溢出漏洞,源于`ShowDownload()`函数未对用户输入的`meter`参数进行长度验证,可能导致设备被攻击者控制。 阅读全文
posted @ 2025-12-08 17:17
qife
阅读(1)
评论(0)
推荐(0)
摘要:
ProsemirrorToHtml Ruby gem 存在一个跨站脚本(XSS)漏洞,攻击者可通过恶意HTML属性值注入任意JavaScript代码。本文详细介绍了漏洞影响、攻击向量、修复版本及临时缓解措施。 阅读全文
posted @ 2025-12-08 16:21
qife
阅读(3)
评论(0)
推荐(0)
摘要:
本文详细分析了CVE-2025-11778高危漏洞,该漏洞影响Circutor SGE-PLC1000/SGE-PLC50设备的TACACS+实现,攻击者可远程通过‘read_packet()’函数触发内存破坏。文章提供了漏洞概述、影响产品、CVSS评分及缓解方案。 阅读全文
posted @ 2025-12-08 15:11
qife
阅读(2)
评论(0)
推荐(0)
摘要:
本文详细披露了Revive Adserver中一个高风险IDOR漏洞,允许攻击者删除其他管理者的广告条。报告包含漏洞原理、复现步骤、影响分析及官方修复确认。 阅读全文
posted @ 2025-12-08 14:08
qife
阅读(2)
评论(0)
推荐(0)
摘要:
本文详细分析了CVE-2025-12119漏洞,该漏洞影响MongoDB的PHP驱动扩展,当传递大型选项时,mongoc_bulk_operation_t可能读取无效内存,存在安全隐患。 阅读全文
posted @ 2025-12-08 13:14
qife
阅读(2)
评论(0)
推荐(0)
浙公网安备 33010602011771号