struts2-057扫描工具 漏洞解析

struts2-057扫描工具

wsdigger,一款非常好用的service接口安全扫描工具,已确认可以正常使用。不用注册,就可以使用。操作也非常简单。 1.无限设置多个关键词和长尾词,软件会自动使用搜索智能引擎搜索,获取结果的域名进行网站空间文件扫描。 2.智能引擎搜索支持多种主流搜索引...
NEW
Gitlab远程代码执行漏洞 漏洞解析

Gitlab远程代码执行漏洞

近期Hackerone公开了Gitlab的任意文件写入,导致远程代码执行漏洞,实践一波。 温馨提示:利用成功后会覆盖掉原git用户的authorized_keys,在实际生产环境请谨慎尝试,后果自负! import_upload_path将未过滤的参数params[:path]添加到gitlab上传目录,导致存...
NEW
ECShop 2x 30代码执行漏洞分析 漏洞解析

ECShop 2x 30代码执行漏洞分析

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。2.x版本跟3.0版本存在代码执行漏洞。 ECShop 没有对 $GLOBAL...
NEW
利用本地包含漏洞执行任意代码 漏洞解析

利用本地包含漏洞执行任意代码

文件包含(Local File Include)是php脚本的一大特色,程序员们为了开发的方便,常常会用到包含。比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句?php include fuction.php?就可以调用内部定义的函数。 本...
NEW
iOS被曝新漏洞:15行代码让iPhone崩溃 漏洞解析

iOS被曝新漏洞:15行代码让iPhone崩溃

IT之家9月17日消息 根据苹果公布的消息,iOS 12正式版将于明天凌晨推送给符合升级条件的用户,这一版本系统被称为是老款iPhone的性能救星。但是,在新版本正式推送之前,有安全研究人员曝光了iOS最新的漏洞。 今天早晨,安全研究员Sabri Haddouche通过Twitte...
NEW
资金流量指标(MFI)用法及源代码(佳庆资金流量指标CMF) 漏洞解析

资金流量指标(MFI)用法及源代码(佳庆资金流量指标CMF)

佳庆资金流量指标(CMF)又称蔡金货币流量、恰奇现金流,是一个非常有用的工具,由一位技术分析师MarcChaikin根据传统的分析工具收集/派发线(Accumulation/Distribution Line) 再推陈出新的一种图表分析指标。其原理与MFI很类似。 指标解释及用法 PMF赋值:收...
NEW
短线盈亏指标用法及源代码(CYS指标) 漏洞解析

短线盈亏指标用法及源代码(CYS指标)

短线盈亏指标,即CYS指标,又称为市场盈亏指标,属高低类指标,它描述的是这样一个市场事实:介入股市的投资者的浮动盈亏状况。这个浮动盈亏状况是针对相对应的成本均线而言的。主要用于捕捉超跌股,CYS13-16为短线为中线超跌。一般情况下,买 短线盈亏指标...
NEW
平均线差指标用法及源代码(新DMA指标) 漏洞解析

平均线差指标用法及源代码(新DMA指标)

DMA指标(Different of Moving Average)又叫平行线差指标,是目前股市分析技术指标中的一种中短期指标,它常用于大盘指数和个股的研判。DMA指标是属于趋向类指标,也是一种趋势分析指标。DMA是依据快慢两条移动平均线的差值情况来分析价格趋势的一种技术分...
NEW
换手率指标用法及源代码 漏洞解析

换手率指标用法及源代码

换手率也称周转率,指在一定时间内市场中股票转手买卖的频率,是反映股票流通性强弱的指标之一。以样本总体的性质不同有不同的指标类型,如交易所所有上市股票的总换手率、基于某单个股票发行数量的换手率、基于某机构持有组合的换手率。 在技术分析的诸多工...
NEW
漏洞预警 Fastjson远程代码执行0day漏洞 漏洞解析

漏洞预警 Fastjson远程代码执行0day漏洞

前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化...
NEW
白帽子黑客必备的10个渗透测试最佳工具 漏洞解析

白帽子黑客必备的10个渗透测试最佳工具

渗透测试是指通过黑客攻击或网络攻击自己的系统,以便可以确定是否存在任何可被第三方利用的漏洞。 这个过程可进一步加强Web应用防火墙,它提供了大量的洞察力,可用于提高系统的安全性,这对任何类型的企业都至关重要。借助专业工具,渗透测试更加有效和高...
NEW
代码相关汇总_审计 漏洞解析

代码相关汇总_审计

器件的低级语言,亦称为符号语言。在汇编语言中,用助记符(Mnemonics)代替机器指令的操作码,用地址符号(Symbol)或标号(Label)代替指令或操作数的地址。在不同的设备中,汇编语言对应着不同的机器语言指令集,通过汇编过程转换成机器指令。普遍地说,...
NEW
中科院自主研发的漏洞检测工具各项指标领先世界 漏洞解析

中科院自主研发的漏洞检测工具各项指标领先世界

【中经联播网讯 张仲民北京报道】记者今日从中国科学院获悉,该院计算机研究所历经4年潜心研发,已经完成各方面指标均超过美国产品的漏洞检测工具Wukong。 互联网时代,银行的信息安全尤为迫切,目前大多聚焦网络监控和异常访问隔离,随着技术和认识的发展,...
NEW
新的Novidade漏洞利用工具包目标瞄准家用和SOHO路由器 漏洞解析

新的Novidade漏洞利用工具包目标瞄准家用和SOHO路由器

趋势科技的研究人员于本周二(12月11日)发布消息称,他们已经发现了一种新的漏洞利用工具包(Exploit Kit,EK),并将其命名为Novidade。它通过跨站点请求伪造(CSRF)来篡改家用或SOHO路由器的域名系统(DNS)设置,进而针对受害者的移动设备或PC发起攻击...
NEW
阿波罗11号开源代码仓库出现大量中文低质量灌水issues 漏洞解析

阿波罗11号开源代码仓库出现大量中文低质量灌水issues

7月20日消息 1969年7月20日,人类历史上首次在另一颗星球表面行走,实现了1961年肯尼迪总统设定的目标,当时美国人甚至还没有实现环绕地球飞行。2019年7月20日是人类第一次踏足另一个星球50周年的纪念日。阿波罗11号的意义举足轻重。 此前IT之家报道了原始的...
NEW
思科被发现使用华为代码解释:忘了删 漏洞解析

思科被发现使用华为代码解释:忘了删

该公司被网络安全咨询公司发现,产品交换机里用的秘钥证书,是华为子公司研发的。思科对此解释称:在测试产品时使用了华为的代码,最后忘了删除。 不过需要注意的是,该秘钥证书为一款开源程序包中的一部分。根据相关开源协议,开源代码的引用须注明出处。...
NEW
一次CMS源码审计与漏洞发现 漏洞解析

一次CMS源码审计与漏洞发现

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 最近一直在学习《[红日安全]代码审计》系列中关于php代码中存在的问题,从中受益匪浅。从中选取了一个DM企业建站的cms用作练习,在...
NEW