文章目录一、CNVD1.CNVD简介2.CNVD账号注册3.CNVD证书简介4.CNVD原创漏洞证书价值（含金量）一、CNVD1.CNVD简介CNVD是中国国家信息安全漏洞库（ChinaNationalVulnerabilityDatabase）的简称。它是中国国家信息安全漏洞库技术小组负责建设、维护和使用的在线数据库，为政府和企事业单位提供网络安全漏洞信息共享、公开和查询服务。建立CNVD的目的是为了保障网络信息安全、提高网络安全防护能力和水平，为国家信息化建设和经济发展提供坚实的网络安全保障。具体来说，CNVD的目标包括：收集、整理和发布国内外的漏洞信息；提供漏洞信息的查询、分析和评估服务

　　背景　　在2023年8月23日，Group-IB威胁情报机构发布了一份报告，详细介绍了WinRAR任意执行漏洞CVE-2023-38831的攻击活动。根据该报告，这个漏洞最早于2023年4月被攻击者利用，然后在2023年7月被Group-IB威胁情报机构发现并报告给了RARLAB。最终，RARLAB在2023年8月2日发布了修复了CVE-2023-38831漏洞的正式版本WinRARv6.23。漏洞简介　　本次漏洞影响范围为低于WinRARv6.23的所有版本，以下是该漏洞的基本信息：(图源：WinRAR代码执行漏洞(CVE-2023-38831)安全风险通告-安全内参|决策者的网络安全知

我正在创建基于View的应用程序，我将通过addSubview方法转到下一个View。问题是，当我打开VoiceOver的功能并添加subview时，它会从以前的View中获取附件标签。也就是说，如果我在矩形上单击View，在上一个View中有标签，那么VoiceOver也会将其检测为可访问性标签并开始阅读该标签。但是，如果我使用导航Controller转到下一个ViewController，我不会遇到任何问题。任何人都可以告诉我，如果苹果本身只支持基于导航的应用程序的VoiceOver功能，或者在基于View的应用程序中有其他解决方案可以用于VoiceOver吗？PS我也在一些演示应

Redis--弱口令未授权访问漏洞一、漏洞简介二、危险等级三、漏洞影响四、入侵事件五、漏洞复现--RedisCrackIT入侵事件5.1、以root启动的redis，可以远程登入到redisconsole--------A主机5.2、生成公钥5.3、执行:redis-cliflushall清空redis(非常暴力，请务必在测试环境执行)5.4、执行:catfoo.txt|redis-cli-xsetpwn5.5、调用configset命令对redis的备份文件路径进行修改5.6、使用本地的私钥去登入被植入公钥的ssh服务器六、加固方案6.1、通过修改redis.conf文件来禁用远程修改DB文

SecurityAffairs网站披露，Outpost24的研究人员AstridTedenbrant在NagiosXI网络和IT基础架构监控与管理解决方案中发现四个漏洞，漏洞分别追踪为CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934，可能导致信息泄露和权限升级。NagiosXI可监控所有关键任务基础设施组件，其中主要包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施，目前全球有成千上万的实体组织正在在使用它。据悉，这些安全漏洞主要影响到5.11.1及更低版本的NagiosXI。CVE-2023-40931、CVE

1.问题SpringBootActuator端点的未授权访问漏洞是一个安全性问题，可能会导致未经授权的用户访问敏感的应用程序信息。可是并不用太过担心，SpringBootActuator默认暴漏的信息有限，一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator，如果同时使用eureka和actuator，可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。但是删除SpringBootActuator的引用对Eureka注册中心本身并没有直接影响。Eureka注册中心是用于管理微服务实例的，而SpringBootActuator提供了用于监控和管理单个

今天记录一下最近将深度学习方法用于智能合约漏洞检测的第一次实验，顺便给研究这方向的同行们提供一点借鉴意义。这个方法跟NLP有点相似，但又不太一样，因为操作码序列虽然具备一定语义信息，但偏向底层机器语言，所以刚开始我并不确定最终能不能达到很好的训练效果。这个实验的完整过程如下：首先通过插桩在本地链上同步当前以太坊的部分区块交易数据，借此拿到每笔交易的操作码序列、合约地址等等原始数据；接着通过word2vec或one-hot编码将每个操作码转成词向量；最后搭建CNN+LSTM的深度学习模型完成多分类训练。0.导包fromkeras.modelsimportSequentialfromkeras.l

Redis未授权--沙箱绕过--(CNVD-2015-07557)&&(CNVD-2019-21763)&&(CVE-2022-0543)环境复现采用Vulfocus靶场进行环境复现，官网docker搭建有问题，具体搭建教程参考vulfocus不能同步的解决方法/vulfocus同步失败CNVD-2015-07557未授权访问影响版本Redis漏洞探测使用端口扫描工具等探测到目标主机使用了Redis服务对于Redis服务的未授权访问，首先需要确认Redis未授权是否存在，使用Redis数据库客户端进行连接测试，如何没有密码，即未授权漏洞存在。客户端连接工具AnotherRedisDesktop

文章目录0.前言漏洞spring-kafka介绍1.参考文档2.基础介绍3.解决方案3.1.升级版本3.2.替代方案4.Springkafka使用教程代码示例0.前言背景：公司项目扫描到Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞CVE-2023-20873漏洞中等风险|2023年8月23日|CVE-2023-34040在SpringforApacheKafka3.0.9及更早版本以及2.9.10及更早版本中，存在可能的反序列化攻击向量，但只有在应用了不常见的配置时才会出现。攻击者必须在反序列化异常记录头中构造一个恶意序列化对象。spring-kafka介绍SpringKaf

0x01前言在计算机安全领域，漏洞的危险性往往与其广泛性和潜在攻击方式密切相关。今天，我们将深入探讨一个异常危险的漏洞，它存在于程序退出时执行的常见函数"exit"中。无论是在操作系统还是应用程序中，"exit"都是一个普遍存在的函数，通常用于正常退出程序。但这种普遍性也使得它成为了潜在的攻击目标。这个漏洞的威胁性在于，它不仅存在于各种程序中，而且有多种潜在的攻击方式。攻击者可以通过利用这一漏洞来执行恶意代码，获取系统权限，或者实施其他恶意行为。要理解这个漏洞的威胁，我们需要深入分析其背后的原理以及不同的利用方式。在本文中，我们将探讨这个漏洞的具体情况，并详细分析了两种主要的利用方式：一种是将