tag 安全漏洞

標籤
貢獻12
73
06:48 PM · Oct 26 ,2025
jihu_gitlab 頭像 sectrend 頭像 f_65448b36331d8 頭像 invalidnull 頭像 turing_interview 頭像 gqkmiss 頭像 haixiudewandou 頭像 jdcdevloper 頭像 whoami_5dba847482280 頭像 chaochenyinshi 頭像 damonxiaozhi 頭像 chengxuyuanlaoliu2024 頭像

@安全漏洞 / 博客 RSS 訂閱

chaochenyinshi 頭像

用户bPdd2O9 - 系統安全不求人:開發者必學的漏洞防禦秘籍

專業在線打字練習平台-巧手打字通,只輸出有價值的知識。 一 數據庫操作,要謹慎 1.1 SQL注入,危害大 通過SQL注入等方式,把用户輸入的數據當做代碼執行。 簡單場景舉例:假如程序裏有以下基於訂單號查詢訂單的SQL語句,訂單號是用户從頁面傳遞過來的: "SELECT * FROM my_order WHERE order_no = '" + OrderNo+ "'"; 如果黑客構造瞭如下訂單號

安全防護 , sql注入 , 安全漏洞 , xss , 後端

收藏 評論

chengxuyuanlaoliu2024 頭像

程序員老劉 - Google突然“變臉“,2026年要給全球開發者上“緊箍咒“?

哈嘍,我是老劉 Google又整妖蛾子了,8月25號宣佈從明年開始,谷歌將開始驗證在安卓設備上分發應用的開發者的身份。 全球超過300萬Android開發者,即將在2026年面臨史上最嚴格的身份驗證! 這個消息是真的嗎?對我們國內開發者有什麼影響呢? 政策細節盤點 先説結論:這次Google是玩真的! 從2026年開始,所有在Android設備上分發應用的開發者都必須通過身份驗證。 注意,

客户端 , Android , flutter , 安全漏洞

收藏 評論

sectrend 頭像

安勢信息 - 安勢信息亮相openkylin開發者大會,以“白銀捐贈人”身份,共同推動開源安全與合規生態健康持續發展

2025年8月26日下午,openKylin開發者大會在北京中關村國際創新中心圓滿落幕。本次大會聚焦openKylin生態發展核心議題,除了重磅發佈操作系統全新版本、呈現技術研發與生態建設成果外,更是將開源合規體系建設列為生態健康發展的關鍵議題,集中展示了社區在開源組件合規治理、許可證標準化落地等領域的實踐成果,而這一方向與安勢信息作為OpenAtom openKylin項目“白銀捐贈人”的核心

開源軟件 , 安全漏洞

收藏 評論

sectrend 頭像

安勢信息 - 別讓代碼毀了低空經濟!80%風險藏在第三方組件裏,SCA 是 “透視鏡”

一、低空經濟的戰略價值與安全隱患 近兩年,“低空經濟”迅速從產業邊緣走向國家戰略層面。無論是政策文件頻繁出現的“城市空中出行(Urban Air Mobility,UAM)”,還是資本市場熱捧的“無人機物流”,都表明低空空域的商業化應用已經進入加速期。 從宏觀角度看,低空經濟是交通、物流、能源、信息產業的交匯點:在城市交通領域:它意味着未來可能出現空中的“網約車”,緩解地面交通壓力;在物流運輸中

開源軟件 , 開源 , 安全漏洞 , 安全

收藏 評論

jihu_gitlab 頭像

極狐GitLab - GitLab 中文版最新安全補丁版本18.2.2, 18.1.4, 18.0.6 正式發佈!

本分分享極狐GitLab 補丁版本 18.2.2, 18.1.4, 18.0.6 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用户應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需用户採取任何措施。 極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級服務,

devsecops , devops , gitlab , 安全漏洞

收藏 評論

jihu_gitlab 頭像

極狐GitLab - GitLab CVE-2025-4700 & CVE-2025-4439 安全漏洞解決方案

本分分享極狐GitLab 補丁版本 18.2.1, 18.1.3, 18.0.5 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用户應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需用户採取任何措施。 極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級服務,

saas , gitlab , 安全漏洞

收藏 評論

jihu_gitlab 頭像

極狐GitLab - 極狐GitLab 正式發佈安全版本 18.1.2, 18.0.4, 17.11.6

本分分享極狐GitLab 補丁版本 18.1.2, 18.0.4, 17.11.6 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用户應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需用户採取任何措施。 極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級

gitlab , 安全漏洞 , Git

收藏 評論

jihu_gitlab 頭像

極狐GitLab - GitLab 正式發佈安全版本18.1.1, 18.0.3, 17.11.5

本分分享極狐GitLab 補丁版本 18.1.1, 18.0.3, 17.11.5 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用户應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需用户採取任何措施。 極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級服務

升級 , gitlab , 安全漏洞

收藏 評論

damonxiaozhi 頭像

Damon小智 - C#進階-ASP.NET網站會話固定漏洞的解決

在實際開發中,網站安全一直是不容忽視的問題。本文將介紹 ASP.NET 中常見的會話固定漏洞、如何復現該漏洞、提供相應的解決方案以及修復後的測試方法。通過在用户登錄後及時更新 SessionID,可以有效避免因固定 SessionID 導致的賬户劫持和敏感信息泄露風險。希望這篇博客能為開發者在實際項目中提供參考,提升應用程序的安全防護能力。 一、漏洞介紹 會話固定漏洞(Session Fixati

會話存儲 , c# , 安全漏洞 , asp.net

收藏 評論

f_65448b36331d8 頭像

F - 自動化階梯封禁在 OctoMation自動化編排中 是如何實現的

封IP, 在紅藍對抗、日常安全運營、hvv中都是最常見的防禦手段,然而,人工封禁的方式存在着大量的工作量,其中包括情報關聯、事件調查、規則判斷、封禁、解封。如果有種方式能夠更好、更快、更符合SOP流程的話,拿筆者認為,這種方式能夠覆蓋安全全場景,使安全事件能夠在第一時間進行有效處理。 自動化階梯封禁 整個劇本設計的難度在把所有的功能按照邏輯點進行子劇本拆分,具體來説有以下幾個步驟: 1)事件

信息安全 , 工具 , 安全漏洞 , 安全

收藏 評論

whoami_5dba847482280 頭像

whoami - CSRF和XSS

CSRF-Cross-Site Request Forgery,跨站請求偽造 典型場景 用户登錄了A網站,A網站通過寫入cookie識別用户身份信息,在未退出A網站的情況下,用户打開了不受信任的B網站,B網站通過瀏覽器向A網站發送了執行敏感操作的請求,並且帶上了cookie,A網站服務端看到cookie信任了該請求,從而導致用户在不知情的情況下執行了敏感操作。 解法 在向A網站發起請求時(如表

csrf , 安全漏洞 , xss

收藏 評論

jdcdevloper 頭像

京東雲開發者 - 邏輯漏洞挖掘之CSRF漏洞原理分析及實戰演練 | 京東物流技術團隊

一、前言 2月份的1.2億條用户地址信息泄露再次給各大公司敲響了警鐘,數據安全的重要性愈加凸顯,這也更加堅定了我們推行安全測試常態化的決心。隨着測試組安全測試常態化的推進,有更多的同事對邏輯漏洞產生了興趣,本系列文章旨在揭秘邏輯漏洞的範圍、原理及預防措施,逐步提升大家的安全意識。第二篇選取了廣為熟知的CSRF漏洞進行介紹。 二、CSRF漏洞介紹 1、CSRF漏洞的定義 跨站請求偽造(Cross-s

漏洞 , 安全測試 , csrf , 安全漏洞 , 安全

收藏 評論

haixiudewandou 頭像

h4ckb0ss - 文件上傳(一):PortSwigger靶場通關筆記

寫在前面 該文章是作者在PortSwigger的文件上傳漏洞靶場訓練的過程記錄以及學習筆記 使用的工具為BurpSuite Pro 漏洞簡介 文件上傳漏洞通常指應用對用户上傳的文件沒有完善的檢驗,允許攻擊者通過Web應用程序上傳惡意文件到服務器,然後通過這些惡意文件來進行執行任意代碼,在客户端影響用户等攻擊 lab1:通過上傳web shell來遠程執行命令 lab地址:Remote cod

web安全 , 文件上傳 , 網絡安全 , 安全漏洞

收藏 評論

gqkmiss 頭像

月恆 - NextJS CVE-2025-29927 安全漏洞

NextJS CVE-2025-29927 安全漏洞 CVE-2025-29927 是一個存在於 Next.js 框架中的關鍵安全漏洞。該漏洞允許攻擊者通過偽造或篡改 x-middleware-subrequest 請求頭,繞過中間件(Middleware)的安全檢查,從而訪問到原本受保護的路由或 API,進而導致授權繞過(Authorization Bypass)以及潛在的更深層次安全風險。本篇

react , middleware , next.js , 安全漏洞 , 前端

收藏 評論

turing_interview 頭像

圖靈訪談 - 專訪調試專家張銀奎:讀古籍、作古詩的“別緻”技術人

非商業轉載請註明作譯者、出處,並保留本文的原始鏈接:http://www.ituring.com.cn/article/217172 張銀奎 Intel 英特爾軟件架構師,系統調試專家 畢業於上海交通大學信息與控制工程系,長期從事軟件開發和研究工作,對 IA-32 架構、操作系統內核、驅動程序、尤其是軟件調試有較深入研究。從2005年開始公開講授“Windows內核及高級調試”課程,

軟件調試 , 圖靈訪談 , 安全漏洞 , 調試器

收藏 評論

sectrend 頭像

安勢信息 - 再獲殊榮!安勢信息榮登「2025中國科創好公司-人工智能好公司」榜單,登頂智能軟件研發賽道!

喜訊安勢信息榮登「2025 中國科創好公司」榜單 在科技創新加速突破、新質生產力成為經濟發展核心引擎的關鍵階段,人工智能、半導體、新能源、生物醫藥等硬科技領域已被納入國家戰略核心佈局,成為驅動經濟高質量發展、築牢國家競爭力的重要支撐。 在此背景下,由上海報業集團主辦、界面財聯社承辦、上海市創業投資行業協會聯合發起的 “2025 中國科創好公司” 榜單正式發佈。作為中國硬科技領域最具公

開源軟件 , 開源 , 安全漏洞 , 安全

收藏 評論

invalidnull 頭像

註銷 - 什麼是計算機安全領域的 Vulnerability Exploit

漏洞是指軟件或系統中的安全弱點,它可能允許攻擊者以某種方式訪問系統、繞過安全控制或獲取未經授權的信息。利用漏洞指的是利用這些軟件或系統中存在的漏洞、弱點或錯誤來實施攻擊的行為。這個過程通常包括利用已知的漏洞或錯誤,開發相應的代碼或腳本來獲取對系統的未授權訪問或執行未授權操作。 在計算機安全領域,利用漏洞意味着攻擊者利用軟件或系統中的錯誤或漏洞,使其執行不是設計用途的操作。這些操作可能包括訪問敏感信

安全防護 , 計算機原理 , 計算機科學 , 安全漏洞 , 安全

收藏 評論