此文章所有内容均收集于互联网，不针对某家安全厂商，仅作技术交流，请勿用于非法攻击和渗透。 360天擎SQL注入漏洞 描述 fofa title="360新天擎" POC & 利用 /api/dp/rptsvcsyncpoint?ccid=1 360天擎信息泄露 描述 /api/dbstat/gettablessize POC & 利用 Alibaba 阿里巴巴Nacos认证绕过 描述 fofa：title="Nacos" POC & EXP D-Link DCS系列监控账号密码信息泄露 描述…

0x00 漏洞概述 XStream是一个Java对象和XML相互转换的工具，在将JavaBean序列化、或将XML文件反序列化时，它不需要其它辅助类和映射文件，这使得XML序列化不再繁琐。 XStream的使用也比较广泛，像Jenkins使用的就是XStream，实战演练的时候该漏洞可以发挥很好的攻击效果，如何识别和判断应用系统是否使用和引入了XStream呢？跟jackson和fastjson等反序列化组件一样，看post提交的内容，是以XML形式提交的。 2021年03月15日，XStream官方发布…

Full title Wordpress InfusionSoft Upload Exploit Date add 2014-10-09 Category web applications Platform php Risk CVE CVE-2014-6446 Description: This Metasploit module exploits an arbitrary PHP code upload in the wordpress Infusionsoft Gravity Forms plugin, ver…

人的安全意识放在首位，杜绝一切弱口令 ！ 以下是linux+apache+mysql+php基线配置安全加固的详细说明 ########################## 1.apache禁止列目录： cd /opt/lampp vi etc/httpd.conf # 就是这一行，只去掉indexes也可 #Options Indexes FollowSymLinks Options FollowSymLinks ########################## 2.php禁止跨目录 vi /opt/lamp…

Apache Tomcat全系产品再次爆出严重的安全漏洞，其中包括2个DoS漏洞和3个信息泄露漏洞。 1.  CVE-2014-0095：DoS（拒绝服务）漏洞  如果AJP请求中设置了一个长度为0的内容，会导致AJP请求挂起，这会消耗一个请求处理线程，可能导致拒绝服务攻击。  受影响版本：Apache Tomcat 8.0.0-RC2~8.0.3  2.  CVE-2014-0075：DoS（拒绝服务）漏洞  攻击者可以制作一个特殊大小的chunked请求，允许大量数据流传输到服务器，并可以绕过各种大小验证，从而…

下载： ACat-jdk1.5.jar、ACat-附数据库驱动-jdk1.5.jar ACat.jar、ACat-附数据库驱动.jar 源码：ACat-src.zip 描述： 这是一个用java实现的非常小(18kb)的webServer。之前在drops发了一个简单的demo：http://drops.wooyun.org/papers/869。这个也非常简单，只实现了几个servlet的api,不过已实现了后门相关功能。启动成功后会开启9527端口，然后访问:http://xxx.com:9527/api.js…