- 综合排序
- 最热优先
- 最新优先
- 来自专栏E=mc²
7类 登录注册 安全漏洞
二、账号可枚举 漏洞描述: 接口对于不同的账号、密码返回的数据不一样,攻击者可以通过回显差异进行用户名的枚举,拿到账户名之后,再进行密码的爆破 ? 3、限制一定时间内IP登录失败次数 三、密码未加密 四、手机验证码可爆破 漏洞描述 对验证码输入错误次数没有做任何限制+验证码的时效性高于爆破时间 修复建议: 1.点击获取手机验证码后产生即时更新强图形验证码 2.限制输入错误次数 3.缩短验证码的有效期 五、短信轰炸 漏洞描述 修复建议: 1.后端对同一手机号在某段时间只能发送一条短信,并且设置发送次数的上限 六、覆盖注册 七、任意用户密码重置 使用
1.6K10发布于 2020-08-17 - 来自专栏云鼎实验室的专栏
2025年7月企业必修安全漏洞清单
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年7月份必修安全漏洞清单: 一、Microsoft SharePoint 远程代码执行漏洞(CVE-2025-53770) 二、 Redis hyperloglog 命令远程代码执行漏洞( 临时缓解方案: - 避免开放至公网 - 利用安全组设置仅对可信地址开放 八、Jenkins Git Parameter插件远程代码执行漏洞 漏洞概述 腾讯云安全近期监测到关于Jenkins的风险公告,漏洞编号为
13310编辑于 2026-04-09 - 来自专栏网络安全技术点滴分享
Drupal 7.x 安全漏洞利用与渗透测试
项目标题与描述Drupal 7.x SQL注入利用工具本项目是一个针对已知高危漏洞“Drupalgeddon”(SA-CORE-2014-005)的安全研究项目。 它提供了一个Python脚本,可利用Drupal 7.x版本中的SQL注入漏洞,从数据库提取管理员密码哈希,并集成drupalpass模块进行本地破解。 该项目旨在用于受控的教育和学术环境,以帮助安全研究人员和开发者理解此类漏洞的严重性及利用原理,从而提升系统安全防护意识。 功能特性漏洞利用自动化:自动化执行针对Drupal 7.x(SA-CORE-2014-005)SQL注入漏洞的攻击流程。 Nmap等工具发现目标运行Drupal 7.x。
17910编辑于 2026-01-20 - 来自专栏安全攻防团队
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞 以下是2023年7月份必修安全漏洞清单详情: 一、Smartbi 多个身份认证绕过漏洞 概述: 腾讯安全近期监测到Smartbi官方发布了关于Smartbi的风险公告,补丁修复了多个身份认证绕过漏洞,其中包括 https://github.com/metabase/metabase/releases/ 四、Microsoft Office and Windows HTML 代码执行漏洞 概述: 2023年7月 ,微软发布了2023年7月安全更新补丁,此次共发布了132个漏洞的补丁程序,其中包含9个严重漏洞。 影响版本: ColdFusion 2018 <= Update 17 ColdFusion 2021 <= Update 7 ColdFusion 2023 <= Update 1 修复建议: 官方已发布漏洞补丁及修复版本
1.3K60编辑于 2023-11-09 - 来自专栏全栈程序员必看
web安全常见漏洞_web漏洞挖掘
常见Web安全漏洞 1、越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的 检查网站有没有文件解析漏洞和文件包含漏洞。 将文件上传到单独的文件服务器,并且单独设置文件服务器的域名。 文件上传过滤和绕过–>传送门 4.1、任意文件读取/下载漏洞 检测: 通过web漏洞扫描工具对网站实施扫描可能发现任意文件读取/下载漏洞,发送一系列”…/”字符来遍历高层目录,并且尝试找到系统的配置文件或者系统中存在的敏感文件 检测 抓包抓取登录请求,获得用户和密码参数 密码字典 暴力激活成功教程 防范 添加token、时间戳、图片验证码 7、CSRF 攻击者以用户的身份完成操作达到各种目的 检测 登录网站,使用bp构造 命令执行和代码执行–>传送门 13、SSRF 由攻击者构造请求,有服务端发起请求的安全漏洞,本质是信息泄露。
2.1K50编辑于 2022-11-06 - 来自专栏囍楽云博客
bash 安全漏洞-bash代码注入的安全漏洞
你看bash 安全漏洞,一个代码注入就这样完成了。这就是bash的bug——函数体外面的代码被默认地执行了。 就像这个安全漏洞的测试脚本一样: env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo 如果你看到了vulnerable字样说明你的bash有安全问题" OK,你应该明白这个漏洞是怎么一回事了吧。 bash漏洞的影响有多大 在网上看到好多人说这个漏洞不大,还说这个事只有那些陈旧的执行CGI脚本的网站才会有,现在已经没有网站用CGI了。我靠,这真是无知者无畏啊。 我们还知道,现在的HTTP服务器基本上都是以子进程式的bash 安全漏洞,所以,其中必然会存在export 一些环境变量的事,而有的环境变量的值是从用户端来的,比如:这样的环境变量,只由浏览器发出的。
1.5K20编辑于 2022-12-29 - 来自专栏安恒信息
安全漏洞公告
1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞 5Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞
911100发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
受 影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT 受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT 多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。 受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载 :目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ 5 Apache 'mod_wsgi' 模块本地权限提升漏洞
1.7K60发布于 2018-04-10 - 来自专栏技术博文
日常漏洞安全更新
日常漏洞安全更新 系统:CentOs7.4 1 中危NSS 安全漏洞 RHSA-2021:4904: nss 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021 _64 2 RHSA-2021:4788: krb5 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-37750 3.2 MIT Kerberos 代码问题漏洞 yum list updates |grep openssh #2 如果有可更新软件,则进行更新 yum -y update openssh-7.4p1-22.el7_9.x86_64 4 RHSA- 2021:3889: java-1.8.0-openjdk 安全和BUG修复更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-35550 4.5 Oracle yum list updates |grep rpm #2 如果有可更新软件,则进行更新 yum -y update rpm-4.11.3-25.el7.x86_64 本文为joshua317原创文章
88010编辑于 2021-12-30 - 来自专栏安恒信息
安全漏洞公告
1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ ID: 66863,66872 CVE Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。 type=doc&id=1635913.1 2 Oracle WebLogic Server远程安全漏洞 Oracle WebLogic Server远程安全漏洞发布时间:2014-04-15漏洞编号: Oracle WebLogic Server组件在实现上存在远程安全漏洞,此漏洞可通过T3协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssl.org/ 5 WordPress多个漏洞 WordPress多个漏洞发布时间:2014
1.3K90发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。 product-software/xenmobile-86-mdm-edition.html http://support.citrix.com/article/CTX140044 4.Zabbix安全绕过漏洞 Zabbix安全绕过漏洞发布时间:2014-02-17漏洞号:BUGTRAQ ID: 65446 CVE ID: CVE-2014-1685漏洞描述:zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案 Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。 安全建议:用户可参考如下厂商提供的安全公告获得补丁信息: http://technet.microsoft.com/en-us/security/bulletin/MS14-005
1.4K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
/security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security 安全限制绕过漏洞 Apache Tomcat 安全限制绕过漏洞发布时间:2014-02-26漏洞号:BUGTRAQ ID: 65773 CVE ID: CVE-2013-4286漏洞描述:Apache /security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security 安全建议:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/ 5 PostgreSQL远程栈缓冲区溢出漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.postgresql.org
1.4K80发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2 安全建议:Microsoft已经为此发布了一个安全公告(MS14-017)以及相应补丁: MS14-017:Vulnerabilities in Microsoft Word and Office Web technet.microsoft.com/security/bulletin/MS14-019 4 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞发布时间:2014-04-09漏洞编号:BUGTRAQ Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。 Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/ http://archiva.apache.org 安全建议:HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁: HPSBMU02988:HP Universal Configuration Management Database, 安全建议:HP已经为此发布了一个安全公告(HPSBMU02935)以及相应补丁: HPSBMU02935:HP LoadRunner Virtual User Generator, Remote Code
1.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁: MS14-033:Vulnerability in Microsoft XML Core Services Could Disclosure (2966061) 链接:http://technet.microsoft.com/security/bulletin/MS14-033 2 Microsoft Windows远程桌面协议安全限制绕过漏洞 Microsoft Windows远程桌面协议安全限制绕过漏洞发布时间:2014-06-11漏洞编号:BUGTRAQ ID: 67865 CVE ID: CVE-2014-0296漏洞描述:Windows PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://bugs.php.net/bug.php?id=67390 http://git.php.net/?
1.5K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 Apache Sling 'AbstractAuthenticationFormServlet'开放重定向漏洞 2 Apache Commons FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6 IBM Domino iNotes 跨站脚本漏洞 7 SAP Sybase ASE XML外部实体注入漏洞 8 Apache mod_fcgid fcgid_header_bucket_read 函数缓冲区溢出漏洞 9 Apache 'mod_accounting'模块SQL注入漏洞 =====================================
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 ClassLoader篡改安全措施绕过漏洞 Apache Struts ClassLoader篡改安全措施绕过漏洞发布时间:2014-04-30漏洞号:BUGTRAQ ID: 67121 CVE(CAN 攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。 'getClass()'方法安全限制绕过漏洞 Apache Struts 'getClass()'方法安全限制绕过漏洞发布时间:2014-04-29漏洞号:BUGTRAQ ID: 67081 CVE 另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。
2.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cacti.net/download_cacti.php 2 OpenX 'flowplayer-3.1.1 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 3 Apache CloudStack多个跨站脚本漏洞 发布时间:2013-08-06 漏洞编号:BUGTRAQ ID: 61650 /html/Release_Notes/index.html 4 多个思科产品远程安全限制绕过漏洞 发布时间:2013-08-01 漏洞编号:BUGTRAQ ID: 61566 CVE(CAN) ID: 多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。
1.6K30发布于 2018-04-09 - 来自专栏安恒信息
安全漏洞公告
安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/ Apache Solr 'SolrResourceLoader'目录遍历漏洞发布时间 安全建议:用户可联系供应商获得补丁信息: http://www.apache.org/ Apache Subversion mod_dontdothat路径匹配安全绕过漏洞发布时间:2013-11 Apache Subversion存在安全绕过漏洞。由于应用程序对配置的路径否认匹配时,未能正确地检查所提供的路径,攻击者可以利用漏洞来绕过预期的限制,例如:由于占用系统资源过多。 安全建议:用户可参考如下供应商提供的安全公告获得补丁信息: http://subversion.apache.org/security/CVE-2013-4505-advisory.txt JBoss 安全建议:用户可参考如下厂商提供的安全公告获得补丁信息: https://rhn.redhat.com/errata/RHSA-2013-1762.html HP 2620交换机'html/json.html
1.7K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。 多个F-Secure产品任意文件访问漏洞发布时间:2014-06-05漏洞编号:BUGTRAQ ID: 67821漏洞描述:F-Secure,原名Data Fellows,是欧洲著名信息安全厂商,总部位于芬兰首都赫尔辛基 签名验证安全措施绕过漏洞 App::Context签名验证安全措施绕过漏洞发布时间:2014-06-05漏洞编号:BUGTRAQ ID: 59832 CVE(CAN) ID: CVE-2012-6141 6 Serv-U多个安全漏洞 Serv-U多个安全漏洞发布时间:2014-06-04漏洞编号: 漏洞描述:Serv-U是一种使用广泛的FTP服务器程序。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.serv-u.com/releasenotes/ 7 PHP 'cdf_read_property_info
1.6K40发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号