一、DVWA简介DamnVulnerableWebApplication用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块，分别是：1、BruteForce（暴力（破解））、2、CommandInjection（命令行注入）、3、CSRF（跨站请求伪造）、4、-FileInclusion（文件包含）、5、FileUpload（文件上传）、6、InsecureCAPTCHA（不安全的验证码）、7、SQLInjection（SQL注入）、8、SQLInjection（Bli

jboss介绍RedHatJBossApplicationServer是一款基于JavaEE的开源应用服务器。特征判断JBossJMXInvokerServlet反序列化漏洞 经典的JBoss反序列化漏洞，JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象，然后我们利用ApacheCommonsCollections中的Gadget执行任意代码。访问http://ip+端口/invoker/JMXInvokerServlet如果出现下载提示框，就证明可能存在漏洞。Boss4.xJBossMQJMS反序列化漏洞（CVE-2017-7504）该漏洞出现在/j

2023年12月18日openssh发布新版9.6p1，详细内容阅读OpenSSH:ReleaseNotes背景说明之前也写过多篇制作opensshrpm包的文章，为何要重新来写一篇制作openssh9.6版本的？openssh9.6rpm包制作和之前存在区别，对于CentOS7来说制作步骤上有一些变化，更何况CentOS7在2024年6月将结束生命周期，官方将不再维护支持，因此在这里单独来写一篇记录一下。有哪些变化呢？1.强制要求openssl 1.1.1以上版本2.强制要求安装openssl-devel1.1.1以上版本这两点也足以说明，逐渐失去对CentOS7及以下版本的维护支持。制作步

漏洞介绍海康威视IP网络对讲广播系统采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。HikvisionIntercomBroadcastingSystem3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞，该漏洞源于文件/php/ping.php的参数jsondata[ip]会导致操作系统命令注入。资产测绘icon_hash=“-1830859634”漏洞复现查看漏洞关键代码：header("Content-type:text/html;charset=GB2312");$postData=$_POST['

@[toc]通达OAgeneral/appbuilder/web/portal/gateway/moare接口存在反序列化漏洞附POC软件免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。1.通达OA简介微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发通达OA（OfficeAnywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行

自动评估和安全平台PatronusAI（守护神）发布了一个诊断测试套件SimpleSafetyTest的结果，该套件显示了大型语言模型(LLM)中的关键安全风险。该公告揭示了人工智能模型的局限性，并强调了改进的必要性，特别是对金融等高度监管行业的人工智能用例。来自PatronusAI的发现，正值人们越来越担心ChatGPT等GenAI（生成式人工智能）系统的准确性，以及GenAI系统对查询提供有害回复的可能性。人们也越来越需要对人工智能的使用进行道德和法律监督。PatronusAISimpleSafetyTest的结果是基于对SEC(美国证券交易委员会)文件中一些最流行的开源LLM的测试。该测

一、关闭swagger1、关闭swaggerv3#需同时设置auto-startup=false，否则/v3/api-docs等接口仍能继续访问springfox:documentation:enabled:falseauto-startup:falseswagger-ui:enabled:false2、关闭swaggerv2#只要不是true就不启用swagger:enable:false#如不起作用，查看项目中的config，是否配置开关@Configuration@EnableSwagger2@ConditionalOnProperty(name="swagger.enable",hav

  SQL注入是常见的系统安全问题之一，用户通过特定方式向系统发送SQL脚本，可直接自定义操作系统数据库，如果系统没有对SQL注入进行拦截，那么用户甚至可以直接对数据库进行增删改查等操作。  XSS全称为CrossSiteScript跨站点脚本攻击，和SQL注入类似，都是通过特定方式向系统发送攻击脚本，对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的，而XSS则是以恶意执行前端脚本来攻击系统。  项目框架中使用mybatis/mybatis-plus数据持久层框架，在使用过程中，已有规避SQL注入的规则和使用方法。但是在实际开发过程中，由于各种原因，开发人员对持久层框架的掌

XSS我tm又来了，总之top10先过一遍，到第三个XSS了，下一个要去看了，看了网上很多wp总感觉不是太全，所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足，从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去，使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料，利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式出现多的地方：1、数据交互的地方：get、post、headers、反馈与浏览、富文本编辑器、各类标签插入和自定义2、数据输出的地方：用户资料、关键字、标签、说明、文件上传废话不多说直接看题吧前置准备document.cookie

XSS（跨站脚本）攻击是一种常见的网络安全漏洞，攻击者通过在网页中注入恶意脚本代码，从而实现窃取用户信息、盗取会话令牌等攻击目的。为了防止XSS攻击，我们可以采取以下措施：输入过滤和验证：在接收用户输入时，进行输入过滤和验证，去除或转义用户输入中的特殊字符和HTML标签，从而防止攻击者注入恶意代码。输出转义：在将数据输出到页面时，对特殊字符和HTML标签进行转义，从而防止攻击者通过注入恶意代码来窃取用户信息或攻击网站。CSP（内容安全策略）：在网站中添加CSP策略，限制网页中可以加载的内容和脚本，防止攻击者通过注入恶意脚本来攻击网站。HTTPOnlyCookie：将Cookie标记为HTTPO