2024-05-18 微信公众号精选安全技术文章总览

洞见网安 2024-05-18

0x1 OWASP TOP10之文件读取

TimeAxis Sec 2024-05-18 22:27:22

敏感内容

0x2 一个高危的xss

迪哥讲事 2024-05-18 20:54:29

敏感内容

0x3 高速易用端口扫描器RustScan

渗透测试知识学习 2024-05-18 20:16:34

敏感内容

0x4 LNK钓鱼攻击揭秘：如何保护你的Windows系统？

泾弦安全 2024-05-18 19:42:20

敏感内容

0x5 JDBC反序列化漏洞

fly的渗透学习笔记 2024-05-18 17:58:35

本文介绍了JDBC（Java Database Connectivity）反序列化漏洞的原理和利用方法。JDBC是Java语言用于操作关系型数据库的一套API，它允许Java程序通过统一的接口访问不同的数据库。然而，在JDBC连接数据库的过程中，某些连接参数的不当设置可能会导致反序列化漏洞，攻击者可以通过控制这些参数来执行恶意代码。文章详细说明了利用此漏洞的条件，包括攻击者能够控制JDBC连接设置项（如mysql的autoDeserialize参数）和存在可利用的依赖漏洞。文章还提供了一个实际的复现步骤，包括搭建恶意MySQL服务端和使用IDEA模拟客户端连接，以及执行calc命令的示例代码。最后，文章提出了修复漏洞的方法，即通过禁用autoDeserialize参数来防止反序列化攻击。作者强调，本文仅供个人学习使用，反对任何非法用途，并提醒读者自行承担使用后果。

0x6 漏洞复现 | 英飞达医学影像存档与通信系统WebJobUpload任意文件上传漏洞【附poc】

实战安全研究 2024-05-18 17:43:54

本文详细介绍了英飞达医学影像存档与通信系统中的一个任意文件上传漏洞。该漏洞存在于WebJobUpload.asmx接口中，允许未经身份验证的攻击者上传任意文件，从而可能导致服务器系统的控制权被夺取。文章首先提供了关于英飞达公司及其医学影像系统的背景信息，然后通过FOFA网络测绘数据展示了可能受影响的系统范围。在漏洞复现部分，作者演示了如何上传一个简单的aspx文件，并访问它以证明漏洞的存在。文章还提供了一个POC（Proof of Concept），展示了如何检测该漏洞。最后，文章讨论了三种可能的漏洞修复方法，包括联系厂商打补丁、增加Web应用防火墙防护以及限制接口的互联网暴露面。文章强调，其内容仅用于技术学习和讨论，反对任何非法使用，并明确表示对因使用本文内容而造成的任何后果不负责任。