fly夏天

本文介绍了sonarqube通过python代码来实现自动化本地扫描，并提供了修改xml配置文件的代码方案。...

一、引言 上一篇文章之后 我们应该已经成功的部署了sonarqube程序，这一篇文章我们就来进行一次简单的本地扫描。如何启动一次完整的本地扫描及所需的各种环境配置...

最近出于SDL的安全需求，打算部署一个静态代码扫描工具，出于通用性和可靠性，选择sonarqube来执行。本文介绍了sonarqube的基于docker的安装部署流程，并提...

但是这篇博客有一部分库是基于python2的，在python3中并不适用，因此有了这篇文章。文章将按照base编码的顺序逐一介绍。1.c = base64.m = base...

做了这么长的时间的ctf，现在总结一下自己做过的题，记录一下各种可能会存在绕过的php函数，持续跟新。各位大佬可以一起交流♂交流。1.这个函数存在一些奇异的地方，正则表达式...

jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库，其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞...

华为Auth-Http Server 1.0存在任意文件读取，攻击者可通过该漏洞读取任意文件。1.2.server="Huawei Auth-Http Server 1.3...

CNVD-2022-43245 泛微e-cology XmlRpcServlet接口处存在任意文件读取漏洞，攻击者可利用漏洞获取敏感信息。1.2.e-office < 9....

通达OA是中国通达公司的一套协同办公自动化软件，通达OA2013，通达OA2016，通达OA2017 存在身份认证绕过漏洞，攻击者可以利用漏洞生成cookie，实现未授权访...

用友U8 cloud是用友推出的企业上云数字化平台，该产品RegisterServlet接口处存在SQL注入漏洞，攻击者可通过该漏洞获取数据库权限。1.1.1.1.user...

用友U8+CRM系统的help2文件中接口存在任意文件读取漏洞，攻击者在未登录情况下即可进行漏洞利用。1.1.1.访问该地址即可触发漏洞，由下图可以看来文件被成功的加载出来...

I Doc View在线文档预览是一款在线文档预览系统。近期出现了多个高危漏洞，因此集中复现一下，有兴趣的童鞋可以收藏一下。1.1.1.I Doc View存在代码执行漏洞...

最近由于工作原因接触到aws的服务，我需要实时获取所有的域名信息，用于对其进行扫描，因此写了一个自动化爬取脚本 给需要的人分享。1.官方文档：https://boto3.a...

1.2.该漏洞的存在是由于 Google Chrome中未充分验证 XML 中不受信任的输入。远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制，导致chro...

本文主要复现JumpServer2023年出现的大批量漏洞，既是分享也是为了记录自己的成长，近期会持续更新。1. 1.1.经过身份验证的用户可以利用MongoDB会话中的漏...

本文主要复现nacos的一些经典漏洞，既是分享也是为了记录自己的成长，近期会持续更新。1. 1.1.1.nacos <=2.2.1.先来重点介绍一下如何任意生成一个可用的a...

本次复现涉及了好几个confluence的相关漏洞，从复现利用到提权，有兴趣的可以自行搭建环境测试。1.1.在某些情况下，远程攻击者在经过身份验证或在特定环境下未经身份验证...

1.8月29晚上就开始收到通知，让我们来排查一下是否有使用畅捷通的系统，说是疑似0day导致很多用户被植入勒索病毒，一时间风头十足。第二天很多平台都更新的防护策略，本次漏洞...

最近接触到了freeswitch的应用，这个应用主要是通过和sip的结合来实现电话机器人。使用的也不是常规的http协议，那个如何对freeswitch的安全问题进行研究，...

1.现在很多企业为了防止源代码泄漏，都需要对github进行监控，防止员工将内部代码私自上传到公开的github上。本文也是围绕这一点。2.本文采用的项目是 github_...