SecEvery - Technical knowledge sharing
xhys121zero
2025-09-08
宏景eHR/sduty/getSdutyTree 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
wsYu9a
2025-09-08
众所周知,原生的cc6打shiro会报错!p牛最后总结出的原因如下: 如果反序列化流中包含非Java自身的数组,则会出现无法加载类的错误。这就解释了为什么CommonsCollections6无法利用了,因为其中用到了Transformer数组。 那我们如何来解决这个问题?
aw4ker
2025-09-04
应急响应定义:组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。应急响应目标:采取紧急措施和行动,恢复业务到正常状态;调查安全事件发生的原因,避免同类事件再次发生;在需要司法机关介入时,提供法律认可的数字证据。
aw4ker
2025-08-29
这个PenTest+途径允许个人练习CompTIA PenTest+考试所需的大部分实践技能。在这里你会学到 - 行业标准渗透测试工具 - 识别和利用不同的网络服务 - 通过当今最常见的漏洞利用Web应用程序 - 了解Windows Active Directory并攻击Kerberos - 后期开发技术(使用Powerview、Bloodhound和Mimikatz)
