java中禁止外部实体引用的设置方法不止一种，这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的！最早是有朋友在群里发了如下一个pdf， 而当时已经是2019年1月末了，应该不是2018年7月份那个引起较大轰动的alipay java sdk的了，我突然虎躯 ...

业务逻辑漏洞和做好用户权限认证。今天在项目中发现了一个安全漏洞：A用户可以修改甚至删除B用户的收货地址。 ...

信息，可以从DVE号跟当前数据库发布版本时间来判断是否为误报信息： 【查看修复方法】 ...

1.敏感信息泄露 风险等级 低危–高危 敏感信息泄露描述 由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运 ...

写安全的代码很困难，当你学习一门编程语言、一个模块或框架时，你会学习其使用方法。在考虑安全性时，你需要考虑如何避免代码被滥用，Python也不例外，即使在标准库中，也存在着许多糟糕的实例。然而，许多 Python 开发人员却根本不知道这些。 以下是我总结的10个Python常见安全漏洞，排名不分 ...

2021.12.10凌晨，Apache Log4j远程代码执行漏洞细节被公开，参考链接：https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/，也可以在cve网站上查询到：https ...

案例一：Discuz论坛SSRF漏洞 复现版本：Discuz! X3.1 Release 20150609 discuz有一个下载远程图片的ajax接口，该接口对用户传入的图片URL校验不严格导致SSRF漏洞。 将远程图片的URL构造为：http://45.xx.xx.60:8080 ...

日期：2018-05-28 21:41:59 更新：2019-07-05 23:15:21 作者：Bay0net 介绍：学习一下 slowHTTPtest 的攻击及防御。 0x01 ...