搜索 “漏洞”

PHP-FPM 远程代码执行漏洞（CVE-2019-11043） 在长亭科技举办的 Real World CTF 中，国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下，通过恶意构造的数据包，即可让PHP-FPM执行任意代码。 漏洞复现 使用https:/...

Traxss XSS扫描器 一款自动化XSS漏洞扫描程序，用Python3编写，利用无头Selenium。 Traxss是一个自动化框架，用于扫描URL和网页的XSS漏洞。它包括用于测试的575多个Payloads，以及用于增强测试健壮性的多个选项。 Traxss XSS漏洞扫描器 Traxss 安装与使用 安装 工具仓库 git clone https...

2019年9月19日，泛微e-cology OA系统自带BeanShell组件被爆出存在远程代码执行漏洞。攻击者通过调用BeanShell组件中未授权访问的问题接口可直接在目标服务器上执行任意命令，目前该漏洞安全补丁已发布，请使用泛微e-cology OA系统的用户尽快采取防护措施。 漏洞名称：泛微e-cology OA系统远程代码执行漏洞威胁等级：严重影响范围：泛微e-...

CVE-2019-0708漏洞介绍 2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞RDP，该漏洞影响了某些旧版本的Windows系统。基于漏洞影响范围较大，级别较高，体验盒子也集中关注过CVE-2019-0708漏洞。开始CVE-2019-0708漏洞利用工具及方法未公开，但昨晚MSF更新利用模块后，CVE-2019-0708漏洞再次被放大。 ...

WTF_Scan资产扫描 一款WEB端的在线敏感资产扫描器，扫描网站中的指纹、漏洞及相关敏感信息，针对已经识别的CMS指纹，进行二次0day扫描利用，一键GetShell也不是不可能！ WTF_Scan 简易资产扫描器 运行环境 1.PHP > 5.32.allow_url_fopen = On WTF_Scan 使用 克隆下载本源码上传到网站空间，直接访问对应目录即可使用 ...

XSpear XSS扫描器 XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。 XSS漏洞扫描器 主要特点 基于模式匹配的XSS扫描检测alert confirm prompt无头浏览器上的事件（使用Selenium）测试XSS保护旁路和反射参数的请求/响应反射的参数过滤测试 event handler HTML tag Special Ch...

xssizer XSS工具 xssizer帮助渗透测试人员，漏洞猎手和其他安全专业人员轻松检测此类漏洞，并生成可立即使用的XSS Payloads PoC漏洞利用以进行演示。 xssizer XSS工具 xssizer安装与使用 安装 由于是PHP+JS项目，你需要一个server服务来运行它。 # 下载项目 $ git clone https://github.com...

RapidScan漏洞扫描器 以往进行安全检测时我们都需要一个接一个的运行安全扫描/审计工具，来收集信息以便 进一步修复安全漏洞。但这样做效率太低了，能否实现自动化呢？即运行多个扫描工具来发现漏洞并合为一体，有效地判断误报，相互关联结果并节省宝贵的时间 ，RapidScan就是这样一款漏洞扫描器。 RapidScan漏洞扫描器 - 帮助 Rap...

BurpSuite AuthMatrix插件 AuthMatrix 是一个Burp Suite扩展，用于检测权限授权问题，设置好session就能进行自动化测试。相似功能的插件还有：BurpSuite Authz。Authz会先访问一遍接口抓包，然后“Send request(s) to Authz”，设置低权限的cookie，“Run”就会使用低权限的cookie去请求，结果会匹配给出相似度百分比，可以查看每个请求的详...

Yaazhini APK和API漏洞扫描 Yaazhini是一款Android APK和API的免费漏洞扫描程序。您可以轻松扫描任何Android应用程序的APK和API，并找到漏洞，支持导出APK和API的漏洞报表。 Android APK漏洞扫描器 Android Rest API漏洞扫描器 Yaazhini下载与使用 系统要求 系统Mac OSX（64位），Windows（64位和32位）内存最低使用量4GB...