web安全 - 标签 - 腾讯云开发者社区-腾讯云

文章/答案/技术大牛

发布

首页标签web安全

#web安全

Revive Adserver存储型XSS漏洞：通过跟踪器名称劫持管理员会话

qife122 18小时前2026-01-07 23:56:31

我在转化统计页面发现了一个存储型跨站脚本（XSS）漏洞。广告商可以通过跟踪器名称注入恶意JavaScript，当管理员查看转化报告时（www/admin/sta...

1500

利用Web消息与JavaScript URL实现DOM XSS攻击（window.postMessage → innerHTML接收点）

qife122 2天前2026-01-06 08:41:05

🎯 利用Web消息和JavaScript URL实现DOM XSS攻击（window.postMessage → innerHTML接收点）

6210

点击劫持解析：揭秘看不见的界面攻击

qife122 4天前2026-01-03 20:32:17

试想一下：你正在浏览网页，看到一个令人兴奋的弹出窗口，提供免费的iPhone。你点击了醒目的“立即领取！”按钮，但不仅没有赢得任何东西，反而意外地点赞了一个随机...

8310

服务器端请求伪造（SSRF）：从探测到远程代码执行

qife122 11天前2025-12-28 17:38:38

我花了数年时间研究SSRF漏洞——从阅读每份公开的报告，到在实验环境中进行测试，再到在授权的漏洞赏金计划中进行实战。这篇文章总结了我关于如何将简单的“服务器发出...

13110

同源策略与跨域资源共享

Neolnfra 16天前2025-12-22 19:44:06

Web 安全的核心基石之一是同源策略 (Same-Origin Policy, SOP)。这是一项由浏览器强制执行的关键安全机制，旨在严格限制一个源 (Orig...

17700

深入剖析CVE-2025-14387：WordPress学习插件中的存储型XSS漏洞

qife122 17天前2025-12-22 14:32:00

CVE-2025-14387标识了WordPress热门学习管理系统（LMS）插件LearnPress中存在的一个存储型跨站脚本（XSS）漏洞citation:...

20210

WordPress插件URL Shortify高危XSS漏洞CVE-2025-13355技术剖析

qife122 17天前2025-12-22 10:32:34

CVE-2025-13355是URL Shortify WordPress插件在1.11.4版本之前存在的一个反射型跨站脚本漏洞。该漏洞的根源在于插件未能对用户...

16410

WBiz Desk SQL注入漏洞分析：CVE-2023-53935技术详解与缓解方案

qife122 17天前2025-12-22 08:42:24

WBiz Desk 1.2 包含一个 SQL 注入漏洞，允许非管理员用户通过 ticket.php 中的 'tk' 参数操纵数据库查询。攻击者可以通过向票据端点...

12410

Mayan EDMS跨站脚本漏洞CVE-2025-14691深度剖析

qife122 17天前2025-12-21 22:36:37

在Mayan EDMS 4.10.1及更早版本中检测到一个漏洞。受影响的元素是文件 /authentication/ 中的一个未知函数。其操作导致了跨站脚本攻击...

11600

CVE-2025-14780：雄威智慧餐饮云平台SQL注入漏洞深度分析

qife122 20天前2025-12-18 18:40:56

在雄威智慧餐饮云平台 2.1.6446.28761 版本中发现一个漏洞。受影响的是文件 /dishtrade/dish_trade_detail_get 中的一...

15910

Piwigo 13.6.0 SQL注入漏洞详解

qife122 23天前2025-12-15 23:47:56

6300

CVE-2025-14639：itsourcecode学生管理系统的SQL注入漏洞剖析与应对

qife122 24天前2025-12-15 12:21:14

在itsourcecode Student Management System 1.0中发现一个漏洞。受影响的是文件/uprec.php中的一个未知功能。对参数...

16410

SQLMap高效渗透指南：从注入到攻防对抗的完整实战手册

Neolnfra 30天前2025-12-08 20:35:25

--dbms=DBMS: 强制指定后端数据库类型 (e.g., mysql, mssql, oracle)。

32710

渗透测试神器Burp Suite v2025.11更新，发布命令面板、重置内存管理

慧都DevOps 2025-11-242025-11-24 10:14:10

Burp Suite作为Web应用安全测试领域的领先产品，在执行渗透测试方向一直备受软件测试工程师的信赖和欢迎，在上半年推出Burp AI后，Burp Suit...

41110

Burp Suite全新Burp AI功能详解：用AI加速渗透测试

慧都DevOps 2025-10-232025-10-23 10:29:18

渗透测试是一项兼具创造性与细致性的工作。从信息收集、漏洞挖掘到验证与报告，每个环节都考验测试人员的经验与耐心。当面对复杂的响应逻辑、繁琐的参数验证或密集的重复请...

45810

web安全应用-XSS跨站脚本初级

XPcode7 2025-10-232025-10-23 08:56:14

服务器场景：Windows 7（用户名：test；密码：123456）服务器场景：Microsoft Windows2003 Server（用户名：admin...

15810

Apereo CAS 4.1 反序列化命令执行漏洞

你叫夹克 2025-10-172025-10-17 19:05:29

Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以...

27010

CVE-2021-25646，Apache Druid 代码执行漏洞

你叫夹克 2025-10-162025-10-16 23:05:31

Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Dru...

23700

CVE-2021-43798，Grafana 8.x 插件模块目录穿越漏洞

你叫夹克 2025-10-162025-10-16 22:42:14

靶机配置：运行 Grafana 8.2.6 版本的服务器（该版本为漏洞影响范围内的典型版本，后续版本已修复此问题）。

14700

fastjson 1.2.47 远程命令执行漏洞

你叫夹克 2025-10-162025-10-16 22:12:53

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名...

30700