获取某个版本软件存在的漏洞信息

最新推荐文章于 2023-09-14 10:30:00 发布
最新推荐文章于 2023-09-14 10:30:00 发布
阅读量489 收藏
点赞数
文章标签: 数据库 javascript java ViewUI
原文链接:http://www.cnblogs.com/Hi-blog/p/vulnerabilities-with-specific-version-of-software.html
版权

  之前介绍了:如何查看某个特定版本软件具有哪些漏洞

  现在我们需要将这些漏洞信息爬取到本地,并以一定的形式展示出来,这里就是离线HTML格式。

  这里简单介绍下使用方法,源码会放在Github:https://github.com/starnightcyber/scripts/tree/master/vul-info-collect

  Step 1: 查找

    我们在NVD查找:mysql 5.7.21

  Step 2:查看漏洞信息

    我们可以看到我们输入:mysql 5.7.21,前面补充了厂商信息oracle。

  点击View CVEs,就可以看到NVD 收入的mysql 5.7.21这个版本的所有漏洞信息。

  Step 3:

    填充脚本中的三个参数:producer、software、banner

    就是上面截图中的“oracle:mysql:5.7.21”  

    脚本运行结果展示:

    CSS文件是从别处拷过来的,表格没有CSS,勿喷。 

转载于:https://www.cnblogs.com/Hi-blog/p/vulnerabilities-with-specific-version-of-software.html

weixin_30519071
关注
【1day】致远OA系统A6版本敏感信息泄漏漏洞学习(4个)
记录并分享学习安全的知识点..
05-04 7037
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、分类 二、致远OA A6 config.jsp 敏感信息泄漏漏洞 (一)概述 (二)漏洞复现 三、致远OA A6 initDataAssess.jsp 用户敏感信息泄露漏洞 (一)概述 (二)漏洞复现 四、致远OA A6 createMysql.jsp 数据库敏感信息泄露漏洞 (一)概述 (二)漏洞复现 五、致远OA A6 DownExcelBeanServlet 用户敏感信息泄露 (一)概述 (.
如何查看某个特定版本软件具有哪些漏洞
weixin_30296405的博客
11-03 1021
我们拿到一个软件信息,知道它的版本,但却并不清楚它到底存在哪些漏洞,本文将跟随你一起去寻找ta(CVE) 方法一   2018.9.30更新。   需要去NVD查询CPE,如mysql 5.7.18,如下图所示:   > Search   > View CVEs        这样就能获取我们想要的版本的应用软件存在漏洞了。   > 查询结果稍慢,请耐...
在渗透测试中快速检测常见中间件、组件的高危漏洞
公众号:乌云安全
06-08 1075
渗透测试,漏洞发掘,安全工具,中间件漏洞常见漏洞快速检测,目前包含以下漏洞的检测。
渗透测试思路总结(漏洞库)
Johnathan的博客
03-03 126
渗透测试思路总结 一、说明 《Metasploit渗透测试魔鬼训练营》等书已经对渗透测试的步骤流程划分得比较合理透彻了,但感觉在多次通读该类书藉之后仍总感觉不得要领----要对一台给定的主机进行渗透还是不懂到底该如何着手。想来主要是存在以下两个问题。 第一个是在渗透操作系统时,最为关键的从漏洞分析到渗透攻击这一步很难跨越。因为按书中漏洞分析基本只有openvas等漏洞扫描器一条途径,漏洞利用只有Metasploit搜索一条途径;而漏洞扫描器扫出漏洞Metasploit中又正好有利用模块更是少之又少。
隐藏MySQL/MariaDB真实版本信息
zhongxj183的博客
03-07 9224
隐藏MySQL/MariaDB真实版本信息 项目中,甲方对服务器做安全扫描,发现存在较多 MySQL 低版本漏洞,并要求修复。但考虑到业务的影响,不方便直接对当前版本做升级,且我们业务部署在内网环境,也做了网络访问限制,因此实际安全隐患较小。这里尝试寻找其他的方法进行规避,即修改 MySQL 的版本号,隐藏其真实的版本信息。 测试过程记录如下,风险操作,仅供参考。 探测MySQL/MariaDB版本信息 查看当前版本的方法有很多,常见的有: 服务器上执行 mysql -V 登录mysql,使用sql语句查
SSRF漏洞分析与利用
3569
11-06 7764
http://www.91ri.org/17111.html 前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的 0x01 漏洞产生 以curl为例,漏洞代码为ssrf.php Default 1234567
PHP获取php,mysql,apche的版本信息示例代码
10-26
通常来说,了解PHP版本可以帮助开发者判断某个PHP函数是否存在,或者某个特定的特性是否可以使用。 接下来,获取MySQL版本信息通常是为了确认数据库环境是否满足应用需求。在PHP中,获取MySQL版本信息可以通过`...
discuz X25 某功能存在 xss漏洞以及解决方案
09-28
由于给定文件中提到的关键内容是discuz X25软件的某个功能存在XSS(跨站脚本攻击)漏洞,并且漏洞的具体细节是HTML脚本未经过滤,所以此次生成的知识点将会围绕这两个主题进行。 首先,我们需要了解什么是XSS攻击。...
软件漏洞分析简述
热门推荐
fufu_good的博客
02-04 8万+
软件漏洞 1.1漏洞的定义 漏洞,也叫脆弱性(英语:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。 漏洞在各时间阶段的名称 根据是否公开分为:未公开漏洞、已公开漏洞 根据漏洞是否发现分为:未知漏洞、已知漏洞 根据补丁和利用价值是否发布分为:0day漏洞、1day漏洞、历史漏洞 图1 漏洞在各时间阶段的名称 漏洞的特...
damiCMS含有支付逻辑漏洞版本的源码.zip
03-16
- "支付逻辑漏洞":这是指在软件的支付处理过程中存在错误或设计缺陷,使得攻击者有可能绕过正常的支付验证,非法获取服务或商品,或者盗取用户支付信息。 - "源码":源代码,是程序的原始形式,可以被程序员修改和...
HTTP协议相关漏洞
qq_48904485的博客
03-22 9463
一、HTTP协议 HTTP是一个基于请求与响应模式的、无状态的应用层协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当中的各种信息不会被服务器所记录下来。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建在HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。 1、HTTP协议的方法 GET :请求获取Request-URI所标识的资源 POST :
小白是如何挖漏洞的(技巧篇)入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
最新发布
Karka_的博客
09-14 1153
这时候就是要靠我们万能的 fofa 了,首先我们要知道有哪些 cms 有漏洞这里大家可以去找网上的漏洞库,里面一般都会有漏洞合集和这里我稍后会给大家推荐一两个看到没有,就是这么多cms,一杀一个准,上分必备漏洞当然很多漏洞都不能一步到位的,当然也有很多是可以给我们刷分的不过是否重复提交,这我就不太清楚了,可以给你们看看我的战果!当然,没审核,能重复几个我就不知道了,一切随缘—-这里随便找一个cms,给你们看看就这cms,信息泄露,你看,多香!,而且这个漏洞是直接把poc打上去就行了!
任意文件读取及漏洞复现
来日可期的博客
08-31 4236
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息
MySQL数据库渗透及漏洞利用总结
05-09 4222
Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和W...
最新fastjson反序列化漏洞分析
systemino的博客
08-02 3435
前言 写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了 poc newPoc.java import com.alibaba.fastjson.JSON; public class newPoc { public static void main(String[] argv) { String payload = "{"n...
微软否认远程桌面的网络身份验证漏洞:这是 feature;火狐或推出付费版
redditnote的博客
06-09 173
(给技术最前线加星标,每天看技术热点)转自:开源中国、solidot、cnBeta、腾讯科技、快科技等【技术资讯】0、微软否认 Windows 远程桌面的网络身份验证漏洞...
APP和小程序漏洞查找的方法
sineblog的专栏
04-07 5307
目前小程序和APP安全这一块如何去做这个漏洞挖掘,然后漏洞挖掘的这么一个大概的思路是怎么样的,咱们接下来要讲的这个方法其实是通过抓包,包括说这个解包apk包,这一系列的方法去把它的这个 API或者说把它的数据包这个流量给获取到,然后通过这个层面就是流量层网络层来进行漏洞挖掘,因为你通过流量层和网络层进行漏洞挖掘的时候,你挖掘漏洞的方法就可以跟web安全里头的很多手法是一样的了,就可以减轻大家的难度,让大家更好的去挖掘这个安卓或者是苹果IOS系统或者小程序的这些漏洞。 但是这个肯定不是说所有的这个.
软件测试经验与教训》读书笔记---第一章
kxkltey的博客
09-09 556
第一章 测试员的角色 测试人员要在项目中起什么作用? 经验1.测试员是项目的前灯 测试就是要找到信息,有关项目或产品的关键决策都是根据这些信息做出的。 经验2.测试员的使命决定要做的一切 测试员要明确自己的使命,且保证自己的计划不会犹豫过于偏重测试问题的一个方面而忽略其他方面。 经验3.测试员为很多客户服务 1.项目经理:测试员告诉项目经理自己能做什么,不能做什么,有关项目的决策和条件会对测试产生什么影响。 2.程序员:尽可能迅速的为其提供好的错误报告。 3.技术文档编写员:测试员帮助他们理解产品.
如何查找网站漏洞文件任意查看漏洞详情与利用
网站安全专家
07-17 1万+
在对网站程序代码的安全检测当中,网站文件任意查看漏洞在整个网站安全报告中属于比较高危的网站漏洞,一般网站里都会含有这种漏洞,尤其平台,商城,交互类的网站较多一些,像普通权限绕过漏洞,导致的就是可以查看到网站里的任何一个文件,甚至可以查看到网站的配置文件config.php conn.php等等。 我们SINE安全公司在对gitea开源程序代码进行网站安全检测的时候发现存在网站文件任意查看漏洞,没...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值