一、漏洞描述 致遠(yuǎn)OA是一套辦公協(xié)同管理軟件。近日痘昌，奇安信CERT監(jiān)測(cè)到致遠(yuǎn)OA的相關(guān)漏洞信息冯遂。由于致遠(yuǎn)OA舊版本某些接口存在未授權(quán)訪問，以及部...

一起趾、 背景 本次挖礦木馬的應(yīng)急事件胰挑，配合老師給的信息，結(jié)合動(dòng)態(tài)分析杠纵、靜態(tài)分析的方法荠耽，對(duì)該木馬進(jìn)行了深入的分析，初步判斷該木馬具有持久化比藻、自保護(hù)铝量、...

這是在最近的測(cè)試項(xiàng)目里(準(zhǔn)確來說就是昨天)發(fā)現(xiàn)的一個(gè)之前沒接觸過的漏洞，通過該漏洞可以任意注冊(cè)Harbor鏡像倉(cāng)庫(kù)的管理員權(quán)限角色银亲，漏洞利用難度...

最近一直忙著實(shí)習(xí)面試慢叨，在準(zhǔn)備面試的過程確實(shí)也補(bǔ)充了很多自己以前的知識(shí)盲區(qū)，雖然有點(diǎn)考前惡補(bǔ)的意思务蝠，但能學(xué)到知識(shí)總歸是好的拍谐。當(dāng)然，面試的結(jié)果也還算...

0x01 什么是JWT JWT 全稱為 JSON Web Tokens馏段，是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON 的開放標(biāo)...

在平常的測(cè)試過程中轩拨，面對(duì)一個(gè)站點(diǎn)龐大的業(yè)務(wù)接口時(shí)，難免會(huì)忽略其中某些存在問題的接口院喜，使用Burp與Xray聯(lián)動(dòng)可以將被動(dòng)掃描和手工測(cè)試結(jié)合亡蓉，達(dá)到...

接上一條博文。 實(shí)施強(qiáng)效訪問控制措施 要求 7 ：按業(yè)務(wù)知情需要限制對(duì)持卡人數(shù)據(jù)的訪問 “知情需要“ 只授權(quán)訪問工作所需的最低限度的數(shù)據(jù)量和權(quán)限...

接上條博文： 打補(bǔ)丁要及時(shí)Ｅ缫ā砍濒！同時(shí)作為安全測(cè)試人員也應(yīng)該時(shí)刻地主動(dòng)關(guān)注漏洞的發(fā)布資訊，及時(shí)的排查存在威脅的安全事件元咙，并反饋給公司相關(guān)人員梯影。同時(shí)應(yīng)...

接上一個(gè)學(xué)習(xí)筆記內(nèi)容繼續(xù)： 配置系統(tǒng)安全參數(shù)。刪除非必要功能庶香，這一點(diǎn)確實(shí)有感觸甲棍。很多時(shí)候，對(duì)方可能根本都不知道自己的某些資產(chǎn)開放了什么樣的服務(wù)或...