安全避风港

摘要： 起因： 昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞，之前hw期间遇到过几次，都没弱口令和未授权，对其有点印象，遂复现一下。 漏洞影响：2.3.1和2.4 环境准备： 1、下载即可：https://github.com/xuxueli/xxl-job/releases/tag 阅读全文

摘要： 文章来自：https://blog.csdn.net/weixin_44268918/article/details/129771330 1. 前言在日常使用中，模拟攻击以及测试的时候都是直接使用本地虚拟机kali中的msf工具，但是在一些测试环境中需要使用到公网，但是目前的所有的云服务商，并不会提 阅读全文

摘要： 一、什么是XXE漏洞 xxe攻击也叫xml外部实体注入攻击，是一种常见的Web应用安全漏洞，通过漏洞可导致任意文件读取、目录遍历、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等安全问题。 当应用程序使用XML处理器解析外部XML实体时，可能会发生XXE漏洞，使用场景比如后台解析x 阅读全文

摘要： 一、什么是Office XXE攻击 Office XXE攻击是xxe攻击的一种，由于.xlsx与.docx是基于xml文件存储内容的，后端在解析这些xml时自然也会存在xxe攻击的可能。 这里是.xlsx而不是.xls，是因为Excel有多种文件类型，xls是Excle 2003版本之前使用的文件格 阅读全文

摘要： 一、目录穿越漏洞 1、什么是目录穿越 所谓的目录穿越指利用操作系统中的文件系统对目录的表示。在文件系统路径中，".."表示上一级目录，当你使用"../"时，你正在引用当前目录的上一级目录。如果你使用"../../"，你实际上在两次".."的基础上，再次引用上一级目录，从而返回到上两级目录。 例子：假 阅读全文

摘要： 一、靶场信息 红日安全出品——ATT&CK实战系列——红队实战（三） 靶场详情地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 下载地址：https://pan.baidu.com/s/1iy4MIy6ni6d9F3iypeCYVQ 密码: 7 阅读全文