01 2024 档案

摘要:SQL注入分类 SQL注入按照类型分为数字型注入和字符型注入。注入点的数据类型为数字型时为数字型注入,注入点的数据类型为字符型为字符型注入。 SQL注入按照服务器返回信息是否显示分为报错注入和盲注。如果在注入的过程中,程序将获取的信息或者报错信息直接显示在页面中,这样的注入为报错注入;如果在注入的过 阅读全文
posted @ 2024-01-29 09:00 kalixcn 阅读(173) 评论(0) 推荐(0) 编辑
摘要:Apache ActiveMQ OpenWire 协议反序列化命令执行漏洞(CVE-2023-46604) Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持java消息服务、集群、Spring Framework等。 OpenWire协议在Ac 阅读全文
posted @ 2024-01-19 17:21 kalixcn 阅读(1552) 评论(0) 推荐(0) 编辑
摘要:Zabbix Server trapper命令注入漏洞(CVE-2020-11800) Zabbix是由Alexei Vladishev开发的一种网络监控、管理系统,基于Server-Clinet架构。在CVE-2017-2824中,其Server端trapper command功能存在一处代码执行 阅读全文
posted @ 2024-01-12 16:26 kalixcn 阅读(161) 评论(0) 推荐(0) 编辑
摘要:Hadoop YARN ResourceManager 未授权访问 原理 Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的MapReduce算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。yarn提供有默认开放在8088和8090的REST API(默认前者)允 阅读全文
posted @ 2024-01-12 12:17 kalixcn 阅读(935) 评论(1) 推荐(0) 编辑
摘要:Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704) Drupal是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 漏洞环境 执行如下命令 阅读全文
posted @ 2024-01-03 15:32 kalixcn 阅读(323) 评论(0) 推荐(0) 编辑
摘要:Mysql 身份认证绕过漏洞(CVE-2012-2122) 当连接MariaDB/MYSQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。 受影响版 阅读全文
posted @ 2024-01-03 14:47 kalixcn 阅读(140) 评论(0) 推荐(0) 编辑