zzcms注入(CVE-2021-46436) 站长招商网内容管理系统简称 ZZCMS,由ZZCMS团队开发,融入数据库优化,内容缓存,AJAX等技术,使网站的安全性 、稳定性 、负载能力得到可靠保障。源码开放,功能模块独立,便于二次开发。zzcms8.2中在admin/ad_manage.php存在sql注入漏洞。
Apache Shiro _= 1.2.4 默认密钥导致命令执行漏洞(CVE-2016-4437) Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Atom CMS 远程代码执行漏洞(CVE-2022-25487) Atom CMS 2.0版本存在远程代码执行漏洞,该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。
CMS Made Simple v2.2.15 RCE(CVE-2022-23906) CMS Made Simple v2.2.15 被发现包含通过上传图片功能的远程命令执行 (RCE) 漏洞。此漏洞通过精心制作的图像文件被利用。
SQL注入(万能密码) SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)
DVWA靶场搭建 易受攻击Web应用程序(DVWA)是一个非常易受攻击的PHP/MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助web开发人员更好地了解保护web应用程序的过程,并帮助学生和教师在受控的课堂环境中学习web应用程序安全。DVWA的目的是通过一个简单明了的界面来实践一些最常见的web漏洞,具有各种难度。请注意,此软件既有已记录的漏洞,也有未记录的漏洞。这是故意的。
关注
