2025年12月8日
揭秘业务逻辑滥用:API安全中“利用游戏规则”的攻击手法
摘要: 本文深入探讨了API安全中的业务逻辑滥用攻击。它解释了攻击者如何利用API的预期功能逻辑而非技术漏洞,通过绕过支付步骤、操控数据等方式实施攻击,并介绍了Wallarm平台如何通过行为异常检测和规范执行等高级技术进行防护。 阅读全文
posted @ 2025-12-08 23:33 qife 阅读(2) 评论(0) 推荐(0)
CVE-2025-10971:敏感信息不安全存储漏洞深度解析
摘要: 本文详细分析了CVE-2025-10971漏洞,该漏洞存在于MeetMe移动应用中,涉及敏感信息的不安全存储,可能导致攻击者获取嵌入式敏感数据。文章涵盖了漏洞概述、影响版本、CVSS评分及解决方案。 阅读全文
posted @ 2025-12-08 22:16 qife 阅读(3) 评论(0) 推荐(0)
openSIS 8.0 SQL注入漏洞技术分析与利用
摘要: 本文详细分析了openSIS社区版8.0中存在的SQL注入漏洞(CVE-2021-40617),提供了完整的漏洞利用证明和复现步骤,涉及通过ForgotPassUserName.php参数注入的具体攻击向量。 阅读全文
posted @ 2025-12-08 20:06 qife 阅读(3) 评论(0) 推荐(0)
Ring智能可视门铃调试代码漏洞致远程代码执行
摘要: 本文详细分析了CVE-2025-64983漏洞。该漏洞存在于SwitchBot智能可视门铃旧版固件中,由于遗留了活跃的调试代码,攻击者可通过Telnet连接并获取设备访问权限,导致远程代码执行风险。 阅读全文
posted @ 2025-12-08 19:15 qife 阅读(3) 评论(0) 推荐(0)
数据脱敏技术详解:类型、方法与最佳实践
摘要: 数据脱敏是一种保护敏感信息的安全技术,通过替换、打乱或置空等方式修改数据,使其可在非生产环境中安全使用。本文详细解析了数据脱敏的工作原理、静态/动态/即时三种类型、多种实施技术(如置乱、替换、洗牌等)以及行业最佳实践。 阅读全文
posted @ 2025-12-08 18:16 qife 阅读(2) 评论(0) 推荐(0)
CVE-2025-11782 漏洞分析:Circutor SGE-PLC 设备的栈缓冲区溢出风险
摘要: 本文详细分析了CVE-2025-11782漏洞,这是一个存在于Circutor SGE-PLC1000/SGE-PLC50 v9.0.2版本中的栈缓冲区溢出漏洞,源于`ShowDownload()`函数未对用户输入的`meter`参数进行长度验证,可能导致设备被攻击者控制。 阅读全文
posted @ 2025-12-08 17:17 qife 阅读(1) 评论(0) 推荐(0)
ProsemirrorToHtml 因未转义的 HTML 属性值存在跨站脚本(XSS)漏洞
摘要: ProsemirrorToHtml Ruby gem 存在一个跨站脚本(XSS)漏洞,攻击者可通过恶意HTML属性值注入任意JavaScript代码。本文详细介绍了漏洞影响、攻击向量、修复版本及临时缓解措施。 阅读全文
posted @ 2025-12-08 16:21 qife 阅读(3) 评论(0) 推荐(0)
CVE-2025-11778:Circutor PLC设备中危及内存的堆栈缓冲区溢出漏洞深度解析
摘要: 本文详细分析了CVE-2025-11778高危漏洞,该漏洞影响Circutor SGE-PLC1000/SGE-PLC50设备的TACACS+实现,攻击者可远程通过‘read_packet()’函数触发内存破坏。文章提供了漏洞概述、影响产品、CVSS评分及缓解方案。 阅读全文
posted @ 2025-12-08 15:11 qife 阅读(2) 评论(0) 推荐(0)
Revive Adserver 中的IDOR漏洞:跨管理者广告条删除风险
摘要: 本文详细披露了Revive Adserver中一个高风险IDOR漏洞,允许攻击者删除其他管理者的广告条。报告包含漏洞原理、复现步骤、影响分析及官方修复确认。 阅读全文
posted @ 2025-12-08 14:08 qife 阅读(2) 评论(0) 推荐(0)
MongoDB PHP驱动扩展漏洞:mongoc_bulk_operation_t读取无效内存风险分析
摘要: 本文详细分析了CVE-2025-12119漏洞,该漏洞影响MongoDB的PHP驱动扩展,当传递大型选项时,mongoc_bulk_operation_t可能读取无效内存,存在安全隐患。 阅读全文
posted @ 2025-12-08 13:14 qife 阅读(2) 评论(0) 推荐(0)
在嵌入式Linux系统上使用LiteLLM部署轻量级语言模型全攻略
摘要: 本文详细介绍了如何在资源受限的嵌入式Linux设备上,通过LiteLLM代理网关部署和优化轻量级大语言模型,实现本地化AI推理,涵盖从环境准备、安装配置到性能调优的完整步骤。 阅读全文
posted @ 2025-12-08 12:06 qife 阅读(6) 评论(0) 推荐(0)
Revive Adserver 用户名空格绕过漏洞:视觉不可区分的账户仿冒攻击剖析
摘要: 本文详细分析了 Revive Adserver 中存在的一个用户名验证漏洞。攻击者可创建包含首尾空格(如“ admin”)的用户名,此类账户在界面上与真实管理员账户视觉无法区分,可能导致仿冒攻击和审计混淆。 阅读全文
posted @ 2025-12-08 11:01 qife 阅读(0) 评论(0) 推荐(0)
Django XML序列化器文本提取拒绝服务漏洞(CVE-2025-64460)分析
摘要: 本文详细介绍了CVE-2025-64460漏洞,该漏洞存在于Django框架的XML序列化器中,攻击者可通过特制XML输入触发算法复杂度攻击,导致CPU和内存耗尽,从而引发潜在的拒绝服务。 阅读全文
posted @ 2025-12-08 09:29 qife 阅读(1) 评论(0) 推荐(0)
FAST FAC1200R 缓冲区溢出漏洞详情分析
摘要: 本文详细分析了CVE-2025-50402漏洞,该漏洞存在于FAST FAC1200R设备中,由于函数sub_80435780对fac_password参数处理不当导致缓冲区溢出,攻击者可利用此漏洞执行恶意代码。 阅读全文
posted @ 2025-12-08 06:02 qife 阅读(2) 评论(0) 推荐(0)