背景：使用了Math.random()被安全漏洞扫描出high等级的漏洞。尽管我用了Math.random()后，再用了一些手段处理这个随机数，还是被安全漏洞报警。由于Math.random()是统计学的PRNG，攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在JavaScript中，常规的建议是使用MozillaAPI中的window.crypto.random()函数。解决方法：先检查打印一下window.crypto有没有值，有就不用走第一二步，可以直接走第三步引入第三方库：crypto-jsnpminstallcrypto-js在main.js全局注册cryptojsimp

一、漏洞描述泛微e-mobile,由高端OA泛微专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业微信等丰富办公应用,支持多种平台运行,灵活易用安全性高。e-mobile可满足企业日常管理中的绝大部分管理需求，诸如市场销售、项目、采购、研发、客服、财务、人事、行政等；同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口，包括企业员工、供应商、代理商、合作伙伴、投资费以及终端客户等整个供应链条上的关系主体，满足为企业全方位的移动办公需求。该系统存任意文件上传漏洞，攻击者可通过此漏洞上传webshell木马远程控制服务器。二、网络空间搜索引擎查询fofa查询

BleepingComputer网站消息，研究人员发现了21个安全漏洞，这些漏洞会严重影响SierraOT/IoT路由器，威胁攻击者能够利用漏洞，通过远程代码执行、未授权访问、跨站脚本、身份验证绕过和拒绝服务攻击袭击关键基础设施。ForescoutVedere实验室的研究人员发现这些漏洞主要影响SierraWirelessAirLink蜂窝路由器以及TinyXML和OpenNDS（开放网络分界服务）等开源组件。（AirLink路由器具有高性能的3G/4G/5G和WiFi以及多网络连接能力，各种型号的路由器可用于复杂的应用场景，例如交通系统中的乘客WiFi、应急服务的车辆连接、现场操作的远程千兆

工具介绍afrog是一款性能卓越、快速稳定的PoC可定制漏洞扫描（挖洞）工具。PoC涉及CVE、CNVD、默认密码、信息泄露、指纹识别、未经授权的访问、任意文件读取、命令执行等。它帮助网络安全从业者快速验证并及时修复漏洞。目前poc数量接近1000。工具使用使用以下命令快速对自己企业的地址进行漏洞探测：./afrog-Turl.txt-oxxx.html可以看到会先对所有URL进行指纹探测：然后会进行poc匹配，并将漏洞信息打印最后会输出一份报告

WEB漏洞-文件操作之文件下载读取全解思维导图1.文件被解析，则是文件解析漏洞2.显示源代码，则是文件读取漏洞3.提示文件下载，则是文件下载漏洞文件下载漏洞利用条件：（1）存在读文件的函数和操作（2）读取文件的路径用户可控且未校验或校验不严（3）输出了文件内容危害：（1）下载服务器任意文件，如脚本代码，服务以及系统配置文件等（2）可用得到的代码进一步代码审计，挖掘漏洞文件读取漏洞就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件一、简介由于业务需求，很多网站往往需要提供文件(附件)下载的功能块，但是如果对下载的文件没有做限制，直接通过绝对路径对其文件进行下载，那么，恶意用户就可以利用

目录什么是X-XSS-Protection XSS攻击概述X-XSS-Protection的值工作原理如何设置X-XSS-Protection头示例说明X-XSS-Protection局限性现代替代方案小结什么是X-XSS-Protection X-XSS-Protection是一个旨在启用或配置某些版本的InternetExplorer、Chrome和Safari的内置跨站脚本(XSS)过滤器的HTTP响应头，这个过滤器的目的是通过检测响应中的反射性XSS攻击并阻止页面加载，从而保护用户免受攻击。X-XSS-Protection响应头最早由Microsoft引入到InternetExplor

XSS原理解析跨站脚本攻击（XSS）是一种常见的网络安全漏洞，其原理涉及恶意用户向网页注入客户端脚本代码，使其在用户的浏览器中执行。攻击者利用输入栏或其他用户可输入内容的地方，注入包含恶意脚本的数据。当其他用户访问包含恶意注入内容的页面时，这些脚本将在其浏览器中执行，导致攻击者能够窃取用户信息、篡改页面内容、跳转到恶意网站等。XSS漏洞可以分为三个类型：1.反射型反射型的XSS通常是通过URL参数等方式传递到服务端，然后服务端再反射回页面，用户点击包含恶意脚本的链接时脚本再执行。这种类型的XSS通常需要诱导用户点击构造的链接才能利用。2.存储型顾名思义，就是能够存储在服务器上的XSS。恶意脚本

概述ZMQ(ZeroMessageQueue)是一种基于消息队列得多线程网络库，C++编写，可以使得Socket编程更加简单高效。该编号为CVE-2019-6250的远程执行漏洞，主要出现在ZMQ的核心引擎libzmq(4.2.x以及4.3.1之后的4.3.x)定义的ZMTPv2.0协议中。这一漏洞已经有很多师傅都已经分析并复现过了，但在环境搭建和最后的利用都所少有一些不完整，为了更好的学习，在学习师傅们的文章后，我进行了复现，并进行了些许补充，供师傅们学习，特别是刚开始复现CVE的师傅。环境搭建复现CVE最关键也是最繁琐的一步就是搭建漏洞环境，尽量保持与CVE报告的漏洞环境一致，如旧版本环境

12月6日消息，谷歌近日面向所有支持平台，发布了Chrome120稳定版更新，用户可以打开“菜单”>“帮助”>“关于GoogleChrome”检查更新。根据谷歌官方更新日志描述，Chrome120稳定版主要修复了10个安全问题，出于安全方面的考虑，官网仅列出了5个漏洞信息。在官网列出的5个漏洞等级均为“高危”（High），存在于MediaStreamandCapture,SidePanelSearch,Autofill和WebBrowserUI中，包括useafterfree和不当实施等问题。对于仍在运行安卓7.0/7.1的用户来说，无法安装安卓版Chrome120稳定版更新，只能停留在Chr

12月5日，美国网络安全和基础设施安全局(CISA)发出警告称，黑客正积极利用AdobeColdFusion中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。该机构指出，此漏洞能在运行AdobeColdFusion2018Update15、2021Update5及更早版本的服务器上执行任意代码，在Adobe于3月中旬发布ColdFusion2018Update16和2021Update6修复该问题之前曾被用作零日漏洞。CISA在警告中揭露了两起利用该漏洞的攻击事件。第一起事件发生在6月2日，攻击者在一台运行AdobeColdFusionv2021.0.0.2的服