爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

OSIsoft PI Web API 2019存在安全漏洞，攻击者可在用户浏览器上运行恶意代码

# OSIsoft PI Web API 2019 安全漏洞分析及应对指南 ## 漏洞概述 **漏洞编号**: CVE-2020-12021 (ICSA-20-163-01) **影响产品**: OSIsoft PI System (特别是PI Web API 2019版本) **漏洞类型**: 跨站脚本(XSS)漏洞 **风险等级**: 高危 **发现者**: Otorio公司安全研究人员 ## 漏洞技术细节 ### 漏洞描述该漏洞允许攻击者在客户端浏览器上执行恶意代码，具

2025-08-15 14:16:05

黑客可利用IBM Maximo Asset Management软件的SSRF漏洞攻击企业网络

# IBM Maximo Asset Management SSRF漏洞(CVE-2020-4529)技术分析与防护指南 ## 漏洞概述 CVE-2020-4529是IBM Maximo Asset Management解决方案中存在的一个高危服务器端请求伪造(SSRF)漏洞。该漏洞允许经过身份验证的攻击者从系统发送未授权的请求，可能导致网络枚举或促进其他攻击。 ## 受影响版本 - IBM Maximo Asset Management 7.6.0 - IBM Maximo Asset

2025-08-15 14:15:22

SecWiki周刊（第329期）

# SecWiki周刊(第329期) 技术要点解析与教学文档 ## 一、网络安全政策与行业动态 ### 全国23省市"新基建"网安任务重点 - 各省市在新基建项目中网络安全工作的侧重点 - 涵盖领域包括5G、工业互联网、数据中心等基础设施安全 - 强调关键信息基础设施保护与等级保护制度落实 ## 二、运维安全技术专题 ### 态势感知系统深度解析(上中下三篇) 1. **基础概念** - 态势感知的三层模型：感知、理解、预测 - 关键技术组成：数据采集、处理、分析、可视化

2025-08-15 14:04:43

AMD为UEFI SMM安全漏洞准备补丁

# AMD UEFI SMM安全漏洞分析与防护指南 ## 漏洞概述 AMD在2020年6月披露了一个影响UEFI系统管理模式(SMM)的安全漏洞(CVE-2020-12890)，该漏洞存在于某些笔记本和嵌入式处理器中。该漏洞由安全研究人员Danny Odler发现，允许攻击者在特定条件下绕过检测机制，篡改安全固件并执行任意代码。 ## 受影响范围 - **受影响设备**：使用特定AMD处理器的笔记本和嵌入式系统 - **受影响时间范围**：2016年至2019年间发布的处理器 - **受

2025-08-15 14:03:31

Mitsubishi修复Pwn2Own黑客大赛ICS项目中发现的安全漏洞

# Mitsubishi Electric及ICONICS ICS安全漏洞分析与修复指南 ## 漏洞背景 2020年1月，在迈阿密举行的Pwn2Own黑客大赛ICS项目中，多个安全研究团队发现了Mitsubishi Electric及其子公司ICONICS工业控制系统(ICS)产品中的一系列严重安全漏洞。这些漏洞涉及多个关键产品，包括： - ICONICS产品线：Genesis64、Hyper Historian、AnalytiX、MobileHMI、Genesis32和BizViz -

2025-08-15 14:02:55

Windows &MacOS 下微信取证

# Windows & macOS 下微信取证技术指南 ## 准备工作 ### 必要工具 - Windows平台： - 吾爱破解专版OllyDbg（OD） - SQLite数据库管理软件 - macOS平台： - LLDB调试器（系统自带） - DB Browser for SQLite（Mac版） ### 微信版本要求 - 适用于微信2.6.x版本 ## Windows平台微信取证步骤 ### 1. 获取微信聊天记录数据库文件数据库文件路径： ``` C:\Use

2025-08-15 14:02:02

Skywalking SQL注入漏洞 (CVE-2020-9483)开源应对方案：APISIX

# Apache SkyWalking SQL注入漏洞(CVE-2020-9483)防护指南 ## 漏洞概述 Apache SkyWalking是一款应用性能监控(APM)系统，用于跟踪分析线上系统的性能，支持TCP、HTTP协议。该漏洞(CVE-2020-9483)影响版本为6.0-6.6和7.0，通过升级到8.0版本可修复此问题。 ### 漏洞细节 - **受影响组件**：GraphQL协议接口 - **受影响数据库**：H2/MySQL/TiDB作为存储后端时 - **风险等级**：

2025-08-15 14:01:12

图解利用虚函数过GS保护

# 利用虚函数绕过GS保护的技术分析 ## 一、GS保护机制概述 GS保护是微软在Visual Studio中引入的一种栈溢出保护机制，主要特点包括： 1. **安全Cookie机制**： - 在所有函数调用前，向栈内压入一个随机数（称为canary或security cookie） - 这个随机数位于EBP之前 - 系统在.data内存区域存放security cookie的副本 2. **安全验证过程**： - 函数返回前调用`__security_check

2025-08-15 14:00:15

挖洞经验 | 打车软件Lyft费用报告导出功能的SSRF漏洞

# Lyft费用报告导出功能SSRF漏洞分析与利用教学文档 ## 漏洞概述本教学文档详细分析Lyft打车软件费用报告导出功能中存在的服务器端请求伪造(SSRF)漏洞。该漏洞存在于Lyft的PDF报告生成机制中，允许攻击者通过精心构造的HTML标记访问内部资源或敏感信息。 ## 漏洞发现背景 - 发现时间：2018年11月 - 公开时间：2020年6月 - 发现者：与Cody Brocious (@Daeken)合作发现 - 影响功能：Lyft应用中的行程消费报告导出功能(PDF/CSV

2025-08-15 13:59:02

BitDefender修复可致攻击者远程运行命令的漏洞

# BitDefender Safepay 浏览器组件远程代码执行漏洞分析 (CVE-2020-8102) ## 漏洞概述 BitDefender Total Security 2020 的 Safepay 浏览器组件中存在一个输入验证错误漏洞，允许远程攻击者通过特殊构造的网页在 Safepay Utility 进程中执行任意命令。 **受影响版本**: Bitdefender Total Security 2020 24.0.20.116 之前的所有版本 ## 漏洞背景 BitDef

2025-08-15 13:58:22

美国CISA披露Mitsubishi Electric MELSEC可编程控制器超危漏洞

# Mitsubishi Electric MELSEC可编程控制器超危漏洞(CVE-2020-14476)技术分析报告 ## 1. 漏洞概述 **漏洞编号**: CVE-2020-14476 **CVSS v3评分**: 10.0 (最高危级别) **漏洞类型**: 信息泄露漏洞 **影响产品**: Mitsubishi Electric MELSEC系列可编程控制器(PLC) **发现机构**: 浙江大学NESC课题组 **披露机构**: 美国网络安全和基础设施安全局

2025-08-15 13:57:32

精彩分享 | 构筑智慧医疗标准，数据安全不可忽视

# 智慧医疗数据安全防护体系构建指南 ## 一、智慧医疗发展背景与安全挑战 ### 1.1 智慧医疗发展趋势 - 医疗行业信息化平台及系统建设加速 - 人工智能、物联网(IOT)设备和大数据技术广泛应用 - 医疗服务水平与核心竞争力显著提升 ### 1.2 医疗数据安全威胁现状 - **数据敏感性**：涉及个人隐私、医院生存、生命安全乃至国家安全 - **典型安全事件**： - 2019年Quest Diagnostics公司1190万病患信息泄露 - LabCorp公司约770万

2025-08-15 13:56:31

跳转到页