PrefaceSoftware: https://roundcube.net/(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Froundcube.net%2F)Versions: 1.1.x<1.1.2(亲测1.1.5也有效)CVE: CVE2015538

点击上方蓝色字体，选择“设为星标”优质文章，及时送达!(https://oscimg.oschina.net/oscnet/29b67f75a2324a679c170e40225a7eee.jpg)来源| https://www.anquanke.com/post/id/2070290x01漏洞背景2020年05月

Resin是什么虽然看不上但是还是原因下百度百科：<strongResin是CAUCHO公司的产品，是一个非常流行的支持servlets和jsp的引擎，速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容，而且它显示静态内容的能力也非常强，速度直逼APACHESERVER。

0x00前言前段时间看到想复现学习一下，然后就忘了越临近考试越不想复习!在这里插入图片描述(https://oscimg.oschina.net/oscnet/ec73a943a3d9e18184946ee4c4ca290e14f.jpg)常见的未授权访问漏洞Redis未授权访问漏洞MongoDB未授权访问漏

XSS攻击什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(https://www.oschina.net/action/GoT

01前言    下载了一套CMS，看了一下，部分代码加密，也懒得去解密了，费事。直接登录后台进行黑盒结合白盒进行测试，也发现了一些问题，汇总一下，不做具体代码分析。02环境准备CmsEasy官网：http://www.cmseasy.cn网站源码版本：CmsEasy\_v5.7\_UTF80208程序源码下载：

是一个用于设计、构建、文档化和使用风格的Web服务的开源软件框架。它通过提供一个交互式文档页面，让开发者可以更方便地查看和测试API接口。然而，在一些情况下，未经授权的访问可能会导致安全漏洞。本文将介绍如何解决SwaggerAPI未授权访问漏洞问题。未授权

源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。下面是常用的源代码审计工具：1、Fortify：通过内置的五大主要分析引擎，对源代码进行静态分析，并与特有的软件安全漏洞规则集进行全面地匹配、查找。2、Checkmax：通过虚拟编译器自动对软件源代

API的采用正在快速增长。越来越多的企业开始使用API进行内部和外部运营。API采用率的上升令人鼓舞，但了解这种增长的安全影响以及如何缓解这些影响也非常重要。API安全漏洞将继续增加，组织必须做好准备。这篇文章将讨论严重的API安全漏洞以及如何保护自己免受