# SiemPentTeam#

10篇文章

代码审计|PHPSHE1.7两处无需登录漏洞分析

2019-03-19 14:48:2222804人阅读

PHPSHE商城系统是一套开源的B2C商城系统,可以快速让用户建立独立个性化的网上商店,为用户提供了一个低成本、高效率的网上商城建设方案。2018年9月,PHPSHE更新到了1.7版本,是官方网站目前提供的最新版。近日,笔者在对PHPSHE1.7版本最新版进行代码审计时,发现了两处无需登录的高危漏洞分别为XXE漏洞(CVE-2019-9761)

Phpshe v1.7 SQL盲注漏洞(CVE-2019-9626)分析

2019-03-11 17:41:4420415人阅读

PHPSHE商城系统是一套开源的B2C商城系统,可以快速让用户建立独立个性化的网上商店,为用户提供了一个低成本、高效率的网上商城建设方案。其早期版本爆发过多个注入漏洞。

Jenkins 远程代码执行漏洞(CVE-2019-1003000)测试复现

2019-02-26 10:29:2334673人阅读

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。

运维安全之基础服务安全

2019-01-16 14:07:2432536人阅读

运维安全是企业安全保障的基石,不同于Web安全、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。基础服务的安全问题通常表现为:一是开源或者商业产品出现漏洞时,未及时打补丁;二是对基础服务的配置不正确,如服务对外开放、弱口令等。

ThinkCMF X2.2.2多处SQL注入漏洞分析

2018-12-12 20:32:3237338人阅读

ThinkCMF是一款基于ThinkPHP MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本。

ZigBee安全初探

2018-11-14 16:47:1261845人阅读

ZigBee是除了wifi、蓝牙之外目前最重要的无线通信协议之一,主要应用于物联网和智能硬件等领域。首先ZigBee是IEEE802.15.4协议的代名词,根据这个协议规定的技术是一种近距离、低复杂度、低功耗、低数据速率、低成本的双向无线通信技术,主要适合于自动控制和远程控制领域,可以嵌入各种设备中,同时支持地理定位功能。

JavaMelody XXE漏洞(CVE-2018-15531)分析

2018-11-08 19:45:2827165人阅读

JavaMelody是一款在生产和QA环境中对JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。近日发布了1.74.0版本,修复了一个XXE漏洞,漏洞编号CVE-2018-15531。攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。

Spark未授权漏洞分析及测试

2018-11-08 19:35:1626988人阅读

Apache Spark是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行。如果管理节点未启动访问控制,攻击者可以在集群中执行任意代码。 该漏洞的本质是未授权用户可以向Master节点提交一个应用,Master节点会分发给Slave节点执行应用。如果应用中包含恶意代码,会导致任意代码执行,威胁Spark集群

MetInfo 6.1.2 SQL注入漏洞分析

2018-10-25 20:22:2829095人阅读

MetInfo企业建站系统采用了开源的PHP MySQL架构,第一个版本于2009年发布,目前最新的版本是V6.1.2,更新于2018年9月26日。MetInfo是一款功能全面、使用简单的企业建站软件,用户可以在不需要任何编程的基础上,通过简单的安装和可视化编辑设置就能够在互联网搭建独立的企业网站,能够极大的降低企业建站成本。

Apache Portals Pluto 远程getshell漏洞分析及复现(CVE-2018-1306)

2018-10-25 20:06:5519044人阅读

Apache Pluto使用Web.xml中的安全约束配置来控制对资源的访问,但是其中的安全约束配置存在缺陷,攻击者可以绕过身份验证。安全约束配置中,Pluto定义了GET、POST、PUT方法,由于未列出HEAD方法,因此可以使用HTTP HEAD方法来绕过安全约束策略。

0
现金券
0
兑换券
立即领取
领取成功