Cysec

摘要： 参考链接： https://axsec.blog.csdn.net/article/details/145476229 漏洞介绍： JeeWMS commonController.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 w 阅读全文

摘要： 参考链接： https://github.com/wy876/POC/blob/1a7300f4f0793a08d1255a474e71a4854613ffd2/%E7%94%A8%E5%8F%8BOA/%E7%94%A8%E5%8F%8BU8CRM%E7%B3%BB%E7%BB%9F%E6%8E% 阅读全文

摘要： 参考链接： https://mp.weixin.qq.com/s/Jg6ngchbn0pwWJ01nkMSEg 漏洞介绍： NUUO NVR是中国台湾省NUUO公司旗下的一款网络视频记录器，该设备存在远程命令执行漏洞，攻击者可利用该漏洞执行任意命令，进而获取服务器的权限。 资产指纹： title=" 阅读全文

摘要： 参考链接： https://mp.weixin.qq.com/s/fFD5SWFsyDeLm3FQjFwmnQ 漏洞介绍： 蓝凌EIS智慧协同平台 fi_message_receiver.aspx 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如 阅读全文

摘要： 参考链接： https://mp.weixin.qq.com/s/Cg5Mcr7pWEYKobAOYOcPbw 漏洞介绍： Scan2Net的 Web 界面具有网络访问权限的未经身份验证的攻击者可以以 www-data 用户的身份通过"msg_events.php”脚本执行任何系统命令 资产指纹： 阅读全文

摘要： 参考链接： https://blog.csdn.net/ZeroDay001/article/details/144893917 漏洞介绍： 郑州时空-TMS运输管理系统 GetDataBase 接口存在信息泄露漏洞，未经身份验证攻击者可通过该漏洞读取系统内部数据库文件，泄露账号密码等重要凭证，导致 阅读全文

摘要： 目录 1、Web应用信息泄露 2、Web应用权限安全 3、社会工程学 4、总结 社会工程学 社会工程学是一种结合开源情报搜集进行人性攻击的一种网络攻击手段，综合运用信息搜集、语言技巧、心理陷阱等多种手段，完成欺骗的目的。社会工程学采用的技术手段可分为以下几种：社工库收集、google hacker语 阅读全文

摘要： 参考链接： https://mp.weixin.qq.com/s/KoAku-zy10RkwyMQVUuv6g 漏洞介绍： AnyShare智能内容管理平台/SMTP GetConfg 接口未做好权限管控同时响应数据存在过度返回导致接口泄露smtp服务器用户名密码，攻击者可利用此漏洞实现smtp接管 阅读全文

摘要： 目录 1、Web应用信息泄露 2、Web应用权限安全 3、社会工程学 4、总结 Web 应用权限安全 权限问题是Web应用程序中一种常见的安全漏洞。黑客可利用一个账户甚至无账户即可控制全站用户数据。该漏洞产生的原因主要是因为在对数据进行增、删、改、查询的时候，对客户端的请求过分相信而遗漏了权限的判定 阅读全文

摘要： 参考链接：https://github.com/wy876/POC/blob/main/%E6%B1%87%E6%99%BAERP/%E6%B1%87%E6%99%BAERP%E6%8E%A5%E5%8F%A3filehandle.aspx%E5%AD%98%E5%9C%A8%E4%BB%BB%E6 阅读全文