网络安全

令牌漏洞类别描述攻击方法防御措施 JWT（JSON Web Token） 是一种用户身份凭证，用于身份验证和访问控制，其结构包括header、payload和signature，空签名绕过JWT身份认证：将原有JWT的header的alg属性修改为“none”，payload的sub属性修改为administr……

漏洞解密1、Shiro-550反序列化漏洞漏洞原理：在调试cookie加密过程中，开发者将AES用于加密的密钥硬编码了，这导致攻击者可以拿到密钥后精心构造恶意payload替换cookie，最终通过后台解密时进行反序列化，造成攻击，利用过程：需要勾选RememberMe选项，然后跟进rememberIdenti……

青岛漏洞涉及多个领域，以下是对一些具体案例的详细分析：1、软件安全漏洞：悦库企业网盘SQL注入漏洞：该漏洞允许攻击者通过SQL注入获取数据库敏感信息，厂商已发布漏洞修复程序，金斗云HKMP智慧商业软件任意文件下载漏洞：未经身份验证的攻击者可通过该漏洞下载系统重要文件，导致网站处于极度不安全状态，金斗云HKMP智……

1、Swagger-UI跨站脚本（XSS）漏洞漏洞描述：Swagger-UI库中存在多个可能导致账户接管的Web安全漏洞，这些漏洞的根本原因是使用了过时版本的DomPurify，这是一个用于HTML、数学和SVG的XML清理程序库，影响范围：该漏洞影响了所有使用受影响版本Swagger-UI的系统，修复建议：更……

标准概述1、标准名称：《信息安全技术—网络安全漏洞分类分级指南》（GB/T 30279-2020），2、实施日期：2021年6月1日，3、主管部门和归口单位：中华人民共和国国家标准化管理委员会，全国信息安全标准化技术委员会（SAC/TC260），4、主要起草单位：包括中国信息安全测评中心、北京中测安华科技有限公……

1、CVE： - 全称：Common Vulnerabilities and Exposures - 简介：CVE是一个公开披露的网络安全漏洞列表，广泛用于IT人员和安全研究人员查阅漏洞的详细信息， - 特点：每个漏洞都有一个唯一的CVE编号作为标识符， - 网址：[https://cve.mitre.org……

漏洞组合1、概述：漏洞组合是指将多个安全漏洞利用结合在一起，以实现更复杂、更具破坏性的攻击，这种攻击方式通常涉及多个软件或系统漏洞的串联利用，目的是绕过单一防御机制，获取更高的权限或造成更大的危害，2、漏洞组合示例：漏洞类型受影响的软件/系统描述 RCE（远程命令执行） Adobe Reader 通过PDF文件……

运行漏洞1、概述： - 运行漏洞，通常指的是在软件或系统运行过程中，由于各种原因导致的安全漏洞，这些漏洞可能被攻击者利用，从而对系统造成损害，2、形成原因：代码层过滤不严：PHP中的system、exec等函数，如果用户能控制这些函数的参数，并且开发人员没有进行严格的过滤，就可能将恶意系统命令拼接到正常命令中……

剖析漏洞概述与背景1、漏洞概述： - 漏洞是指软件或系统中存在的安全缺陷，这些缺陷可能被攻击者利用来执行未经授权的操作，从而对系统的安全性和数据的完整性构成威胁，2、背景介绍： - 随着信息技术的飞速发展，软件和系统的复杂性不断增加，漏洞的出现几乎不可避免，识别、分析、修复和预防漏洞成为信息安全领域的重要任务……

问卷漏洞分析文件上传漏洞DWSurvey是一款使用Java语言编写的问卷调查系统，在2023年，该系统被发现存在一个严重的文件上传漏洞（CVE-2023-40980），这个漏洞位于action/UploadAction.java文件中的saveImage和savveFile方法中，允许远程攻击者通过这两个方法执……