01漏洞描述 由于錯誤配置或設計缺陷恍涂,當向系統(tǒng)提交有效賬戶和無效賬戶時,服務器會有不同的響應脯丝。利用響應的不同吮螺,攻擊者可以獲取到系統(tǒng)已經(jīng)存在的賬戶饶囚,可用于暴力破解,進一步獲取賬...
發(fā)簡信
IP屬地:湖南
-
每日漏洞 | 用戶枚舉
-
每日漏洞 | 跨站請求偽造
01漏洞描述 HTTP的無狀態(tài)性鸠补,導致Web應用程序必須使用會話機制來識別用戶萝风。一旦與Web站點建立連接(訪問、登錄)紫岩,用戶通常會分配到一個Cookie规惰,隨后的請求,都會帶上...
-
每日漏洞 | rsync未授權訪問
01漏洞描述 rsync是Linux/Unix下的一個遠程數(shù)據(jù)同步工具泉蝌,可通過LAN/WAN快速同步多臺主機間的文件和目錄歇万,默認運行在873端口。由于配置不當勋陪,導致任何人可未...
-
每日漏洞 | HTTP.sys遠程代碼執(zhí)行
01漏洞描述 上篇文章介紹了Host頭攻擊贪磺,今天我們講一講HTTP.sys遠程代碼執(zhí)行漏洞。 HTTP.sys是Microsoft Windows處理HTTP請求的內核驅動程...
-
PTES-滲透測試執(zhí)行標準
“入門滲透測試诅愚,首先需要了解滲透測試的流程缘挽、步驟與方法。盡管滲透目標的環(huán)境各不相同呻粹,但依然可以用一些標準化的方法體系進行規(guī)范和限制壕曼。” 目前滲透測試方法體系標準比較流行的有5...