代码编织梦想

lockbit 3.0 勒索软件生成器泄漏引发数百种新变种_lockbit3.0样本下载-爱代码爱编程

去年,LockBit 3.0 勒索软件生成器泄露,导致攻击者滥用该工具催生新变种。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示,它检测到了一起勒索软件入侵事件,该入侵部署了LockBit版本,但勒索赎金的程序明显不同。 安全研究人员爱德华多-奥瓦列(Eduardo Ovalle)和弗朗切斯科-图雷(Francesco Figurell

跨站请求伪造漏洞(csrf)-爱代码爱编程

什么是CSRF CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。 漏洞原理 跨站请求伪造漏洞的原理主

技术分享 | 某下一代防火墙远程命令执行漏洞分析及防护绕过_深信服下一代防火墙ngaf login远程命令执行漏洞-爱代码爱编程

0x01 概述 最近,某下一代防火墙曝光了远程代码执行漏洞。此漏洞通过绕过身份认证和注入 cookie 的方式来执行系统命令,公开的利用方式受到诸多限制且命令执行无回显,并且当目标机器不出网时,该漏洞利用方式便无法发挥作用

网康应用安全网关(ns-爱代码爱编程

一、漏洞信息 漏洞名称: 网康应用安全网关(NS-ASG)-list_ipAddressPolicy-SQL注入漏洞 漏洞类别: SQL注入漏洞 风险等级: 高危 二、漏洞描述 网康应用安全网关(NS-ASG) list_ipAddressPolicy 接口存在SQL注入漏洞。 攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,

goby 漏洞发布|jetbrains teamcity 权限绕过漏洞(cve-爱代码爱编程

漏洞名称:JetBrains TeamCity 权限绕过漏洞(CVE-2024-27198 & CVE-2024-27199) English Name: JetBrains TeamCity permission

掌握“这招”,平趴也能轻松捕获威胁情报!——利用流行度排名升级威胁情报收集-爱代码爱编程

引言 威胁情报是提供强大网络安全服务的重要基石,这些服务可以保护各地的移动设备和互联网用户。但当今的互联网威胁是复杂且具有强适应性的,它们通过不断改变其面貌以逃避安全防御。这使得提供涵盖各种威胁形势的威胁情报变得日益困难,组织希望威胁情报足够精准、有更少的误报避免对业务产生影响,并且也需要具有阻止快速变化的攻击的敏捷性。 在这样的形势下,安全研究人

揭示网络攻击的三个成功教训-爱代码爱编程

某某大型企业遭遇网络攻击和入侵之类的新闻已经见怪不怪了,似乎每隔几个月都会出现一次。那么这不免会让人反思,我们能从这些不断发生的攻击中学到什么教训?如何借助这些前车之鉴让自己在创建防御措施方面做得更好?怎样让攻击者更难以成功? 保护企业免受数据泄露,这需要从传统安全措施中进行战略性转变。过去的 10 年里,Akamai 一直在为全球客户提供建议,这些建议

ctfhub 文件上传漏洞 靶场实战通关攻略_文件上传漏洞靶场-爱代码爱编程

目录 实验准备 无验证 前端验证 方法一:禁用JS 方法二:删除检测代码/浏览器代码 方法三:bp抓包改后缀名 .htaccess MIME绕过 00截断 双写后缀 文件头检查 方法一:添加文件头绕过 GIF PNG JPG 方法二:图片马绕过 GIF PNG JPG   靶场链接:CTFHub 实验准备

http 请求走私实现以及攻击案例-爱代码爱编程

HTTP 请求走私实现以及攻击案例。 HTTP请求走私(HTTP Request Smuggling)是一种Web安全漏洞,它涉及到HTTP协议的不安全实现,特别是在处理多个HTTP请求时。这种漏洞可以被利用在多种场景

ide(集成开发环境)插件是安全开发的便捷方式之一-爱代码爱编程

开发人员每天都使用插件,插件的功能在于简化开发流程,例如自动检测所有特殊字符(如“;”、“:”)或语法合规性。创建插件的目的本身就是为了让开发人员能够在编写代码时检测漏洞,并在无需离开 IDE 环境的情况下立即修复漏洞。我们来了解一下,什么是插件以及如何使用插件? 近年来,安全开发这一话题变得非常重要且具有现实意义。如今,从事开发或信息安全领域的人员基本

企业开展开源安全治理必要性及可行性详细分析-爱代码爱编程

背景 开源软件安全威胁是近几年企业安全面临的主要威胁,也是企业应用安全方向讨论的热门话题,但是由于是新的需求新的方向,很多企业在观望,当前开展这项工作是否已经成熟,项目成功率如何? 当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它

研究人员发现 openai chatgpt、google gemini 的漏洞-爱代码爱编程

自 OpenAI 推出 ChatGPT 以来,生成式 AI 聊天机器人的数量及其在企业中的采用率在一年多时间里呈爆炸式增长,但网络安全专业人士的担忧也随之增加,他们不仅担心威胁组织对新兴技术的使用,还担心大型网络的安全性及模型(LLM)本身。 网络安全供应商的研究人员分别发现了 ChatGPT 和 Gemini 中的漏洞,Gemini 是谷歌的生成式

goby 漏洞发布|亿赛通电子文档安全管理系统 clientloginweb 接口远程代码执行漏洞-爱代码爱编程

漏洞名称:亿赛通电子文档安全管理系统 ClientLoginWeb 接口远程代码执行漏洞 English Name:Esafenet Electronic Document Security Management Syst

用友nc getfilelocal 任意文件下载_用友nc getfilelocal任意文件下载漏洞-爱代码爱编程

【产品介绍】 用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,采用J2EE架构和先进开放的集团级开发平台UAP,形成了集团管控8大领域15大行业68个细分行业的解决方案。 【漏洞介绍】 用友NC getFileLocal 任意文件下载,攻击者可通过此漏洞获取敏感信息。 【资产测绘Query】

goby 漏洞发布|weblogic foreignopaquereference 远程代码执行漏洞(cve-爱代码爱编程

漏洞名称:Weblogic ForeignOpaqueReference 远程代码执行漏洞(CVE-2024-20931) English Name:Weblogic ForeignOpaqueReference remo

goby 漏洞发布|goanywhere mft initialaccountsetup.xhtml 绕过漏洞(cve-爱代码爱编程

漏洞名称:GoAnywhere MFT InitialAccountSetup.xhtml 绕过漏洞(CVE-2024-0204) English Name:GoAnywhere MFT InitialAccountSet

goby 漏洞发布|ivanti connect secure 和 policy secure saml20.ws 服务端请求伪造漏洞(cve-爱代码爱编程

漏洞名称:Ivanti Connect Secure 和 Policy Secure saml20.ws 服务端请求伪造漏洞(CVE-2024-21893) English Name:Ivanti Connect Secu

【成功复现】ivanti mobileiron sentry 身份验证绕过漏洞(cve-爱代码爱编程

0x00写在前面 **本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!** 0x01漏洞介绍 MobileIron Sentry是美国思可信(MobileIron)公司的一款智能网关产

goby 漏洞发布|ivanti connect secure 和 policy secure keys-爱代码爱编程

漏洞名称:Ivanti Connect Secure 和 Policy Secure keys-status 远程命令执行漏洞(CVE-2023-46805/CVE-2024-21887) English Name:Iva

【漏洞复现】安恒明御安全网关远程命令执行漏洞_安恒明御堡垒机漏洞-爱代码爱编程

免责声明 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责! 一、漏洞名称 安恒明御安全网关远程命令执行漏洞 二、漏洞范围