- 博客(9)
- 收藏
- 关注
RSS订阅原创 K8S组件未授权访问
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。
2026-04-04 14:19:17
364
原创 Apache Struct2文件上传--CVE-2023-50164
Apache Struts2 S2-066 是一个存在于文件上传功能中的路径穿越漏洞。攻击者可以通过操纵表单字段名称的大小写,将文件上传到预期上传目录之外的位置。
2026-04-02 16:43:18
607
原创 Claude Code 源码泄露事件与技术解析
DR 2026年3月,Claude Code 因 npm 包中遗留 source map 文件导致源码泄露,约 1906 个文件、512000+ 行 TypeScript 代码暴露。这是 Anthropic 第二次犯同样的错误。泄露代码揭示了 Claude Code 的技术栈(Bun + TypeScript + React/Ink)、40+工具系统、50+命令,以及多个安全 Bug。
2026-04-01 17:46:08
1001
1
原创 Apifox供应链投毒攻击--完整解析
近期,Apifox遭遇供应链投毒攻击,攻击者篡改了Apifox官方CDN上的动态JS文件,在大量开发者电脑上植入隐蔽后门,最终可实现凭证窃取和远程命令执行等恶意功能。
2026-03-31 17:25:03
608
原创 Telnetd零认证提取漏洞 and RCE
Telnetd零认证提取漏洞 CVE-2026-24061;Telnetd使未认证的根RCE成为可能 CVE-2026-32746
2026-03-30 21:41:58
505
1
原创 EnGenius路由器usbinteract.cgi接口存在远程命令漏洞-CNVD-2026-06278
EnGenius路由器是一款面向中小企业的无线路由器。 上海霏达通信技术有限公司EnGenius路由器存在命令执行漏洞,攻击者可利用漏洞远程执行命令。
2026-03-29 16:02:21
527
2
原创 CVE-2025-12598 Best house rental management system V1.0 白盒代码审计+web漏洞 过程超详细
本文介绍的是编号为CVE-2025-12598的SQL注入高危漏洞,受影响的是功能save_tenant文件:/admin_class.php。在 参数firstname被操纵的情况下,会引发 SQL注入。该漏洞被命名为CVE-2025-12598, 远程可以启动攻击, 另外,有可用的漏洞利用。该漏洞的难点就在白盒代码审计中,该如何构造payload和URL,进而利用sqlmap来测试注入点。大家也可以去尝试id=1来进行注入,是不是数字型注入呢?看看能不能成功。
2026-02-10 19:55:40
756
2
原创 CVE-2025-12597 Best house rental management system V1.0 白盒代码审计+web漏洞 过程超详细
本文介绍的是编号为CVE-2025-12597的SQL注入高危漏洞,漏洞点在save_tenant文件:/admin_class.php, 在参数名称被操纵的情况下,会引发 SQL注入,从而造成数据库的泄露。提示:以下是本篇文章正文内容,下面案例可供参考这个CVE-2025-12597与CVE-2025-12614(我的上一篇文章)一个明显的区别就是传参id和name上有些差距,但是都是很简单的代码审计,其他方面基本一样,毕竟是一个系统。这是我挖到的第二个漏洞,也是今天漏洞知识的分享,继续加油!!!
2026-02-09 14:56:18
789
2
原创 CVE-2025-12614 Best house rental management system V1.0 教程超详细
本文详细分析了CVE-2025-12614漏洞的漏洞原理,利用及防御手段。攻击者通过系统搭建,白盒代码审计,进行逆向追踪的方式,找到/admin_class.php文件中,delete_payment函数中存在SQL注入漏洞,利用SQL注入漏洞函数和可控参数,伪造输入值,操纵SQL查询并执行未授权的操作。
2026-02-08 17:42:45
1146
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人