1 2 3 4 5 ··· 14 下一页
[置顶] The PDF.js used by RAGFlow contains a code injection vulnerability
摘要: 目录RAGFlowVulnerability DescriptionVulnerability Steps RAGFlow RAGFlow is an open-source RAG (Retrieval-Augmented Generation) engine developed by Infin 阅读全文
posted @ 2025-05-18 16:45 秋说 阅读(78) 评论(0) 推荐(0)
[置顶] 声明:博文已迁移至 CSDN
摘要: 博文已迁移至 CSDN,后续将在 CSDN 进行更新。 CSDN 主页链接:https://blog.csdn.net/2301_77485708 CSDN 提供优质入门专栏: 1.网络安全新手快速入门(附漏洞挖掘案例) 2.BurpSuite入门教程(附实战图文) 3.CTF新手入门实战教程 4. 阅读全文
posted @ 2025-05-18 09:11 秋说 阅读(68) 评论(0) 推荐(0)
2025年5月17日
RAGFlow Arbitrary Account Takeover Vulnerability
摘要: 目录RAGFlowVulnerability Description[1]Vulnerability Steps[2]Vulnerability Steps[3]Vulnerability Steps RAGFlow RAGFlow is an open-source RAG (Retrieval- 阅读全文
posted @ 2025-05-17 11:45 秋说 阅读(5011) 评论(0) 推荐(0)
2024年9月2日
【网络安全 | Java代码审计】Code-Breaking Puzzles-javacon
摘要: 未经许可,不得转载。 源码:https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar,下载至桌面。 考察知识点:SpEL注入 正文 执行命令运行环境: java -jar C:\Users\ 阅读全文
posted @ 2024-09-02 20:37 秋说 阅读(109) 评论(0) 推荐(0)
【网络安全】PostMessage:分析JS实现XSS
摘要: 未经许可,不得转载。 目录前言示例正文 前言 PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messag 阅读全文
posted @ 2024-09-02 20:17 秋说 阅读(296) 评论(0) 推荐(0)
【甲方安全建设】富文本编辑器XSS漏洞攻击及防御详析
摘要: 原创文章,禁止转载。 目录调研背景搭建TinyMCE富文本编辑器靶场富文本编辑器前端过滤富文本编辑器后端攻击后端弱过滤弱过滤1弱过滤2后端有效过滤从甲方的视角看动态安全 调研背景 随着Web 2.0技术的普及,富文本编辑器在各种Web应用中得到了广泛应用,用户、网站管理员等可以通过富文本编辑器在网页 阅读全文
posted @ 2024-09-02 20:09 秋说 阅读(2698) 评论(0) 推荐(0)
2023年6月17日
[网络安全] DVWA之 Command Injection 攻击姿势及解题详析合集
摘要: ## Command Injection ==命令注入(Command Injection)是一种安全漏洞,发生在应用程序使用用户提供的输入作为系统命令的一部分而未经充分验证和过滤的情况下。== 当应用程序在构造系统命令时,如果没有对用户输入进行适当的验证和过滤,攻击者可以通过在用户输入中插入恶意命 阅读全文
posted @ 2023-06-17 14:16 秋说 阅读(469) 评论(0) 推荐(0)
2023年6月16日
[网络安全] DVWA之CSRF攻击姿势及解题详析合集
摘要: ## CSRF ==CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,它利用了用户在已认证的网站中的身份,通过欺骗用户发起非预期的请求。== 攻击者会构造一个恶意网页,使用户在浏览器中访问该网页时,自动向目标网站发送了未经用户授权的请求 阅读全文
posted @ 2023-06-16 22:02 秋说 阅读(446) 评论(0) 推荐(0)
[网络安全] DVWA之 Insecure CAPTCHA 攻击姿势及解题详析合集
摘要: ## Insecure CAPTCHA CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart,全自动区分计算机和人类的图灵测试)是一种常用的人机验证机制,旨在防止恶意机器人或自动化程序对网 阅读全文
posted @ 2023-06-16 17:57 秋说 阅读(189) 评论(0) 推荐(0)
[网络安全]SQL盲注?这一篇就够了
摘要: 概念详解 SQL注入(Blind)是一种常见的安全漏洞,它允许攻击者向应用程序的数据库中执行恶意的SQL查询。 在传统的SQL注入攻击中,攻击者可以直接获取到应用程序返回的数据库错误信息或查询结果,从而了解到他们所注入的恶意SQL语句是否生效。 但在盲注(Blind)注入中,攻击者无法直接获取到这些 阅读全文
posted @ 2023-06-16 15:24 秋说 阅读(8243) 评论(0) 推荐(3)
1 2 3 4 5 ··· 14 下一页