- 博客(3)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 CVE-2021-21287:MiniO未授权SSRF漏洞
一:介绍MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个对象文件可以是任意大小,从几kb到最大5T不等。MinIO是一个非常轻量的服务,可以很简单的和其他应用的结合,类似 NodeJS, Redis 或者 MySQL。二:漏洞详情由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞攻击者可以通
2021-08-24 17:49:32
7031
原创 CVE-2021-25646:Apache Druid远程代码执行漏洞
一:漏洞描述阿里云安全向Apache官方报告了Apache Druid远程代码执行漏洞,分配CVE编号为CVE-2021-25646Apache Druid 包括执行用户提供的 JavaScript 的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在 Druid 0.20.0 及更低版本中,经过身份验证的用户可以构造传入的json串来控制一些敏感的参数发送恶意请求,利用 Apache Druid 漏洞可以执行任意代码。影响范围:Apache Druid &l
2021-08-24 17:34:09
2577
原创 域渗透-跨域攻击
很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根握不同职能区分的部门,从逻辑上以主域和子域进行划分,方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区域。攻击者如果得到了某个子公司或者某个部门的域控制器权限,但没有得到整个公司的内网全部权限,往往会想办法获取其他部门或者域的权限。》》》跨域攻击方法《《《WEB漏洞:跨域获取权限 PTH/PTT:DC本地管理员密码可能相同 域信任关系:.......》》》跨域攻击--域信任关系《《《域信任的作用:解决多域.
2021-08-19 19:10:26
2228
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人