官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

各位读者周末好，以下是本周「FreeBuf知识大陆一周优质资源推荐」，我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

笔记一

成都海翔软件有限公司海翔药业云平台存在sql注入，可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

笔记二

宏景eHR SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。鉴于该漏洞影响范围较大，建议天守、天擎客户尽快做好自查及防护。

笔记三

Confluence Data Center and Server 存在权限提升漏洞，未经身份验证的远程攻击者可以利用该漏洞来创建未授权的confluence管理员帐户并访问Confluent实例。

笔记四

10月11日，全国信息安全标准化技术委员会官网发布《生成式人工智能服务安全基本要求》（征求意见稿），面向社会公开征求意见。这是国内首个专门面向生成式AI安全领域的规范意见稿。

笔记五

Exchange Server是微软公司的一套电子邮件服务组件，是个消息与协作系统。 简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。

笔记六

代码学习 Liferay Portal JSON 反序列化漏洞(CVE-2020-7961) python脚本学习 脚本介绍这段代码是一个用于检测 Liferay Portal 中的JSON 反序列化漏洞(CVE-2020-7961) 的Python 脚本。这个漏洞可以允许攻击者通过特制的JSON 请求执行任意命令。

笔记七

在前面，我们讲到了CobaltStrike的安装汉化极其使用。但是没有一个工具是十全十美的，CS也是如此。在使用过程中我们发现，cs在生成shell时只能生成windows平台下的而对于mac和Linux主机则无法生成相应的shell。这严重的阻碍了我们学习的动力，那么我们该怎样解决呢？

笔记八

超级弱令检查工具(弱口令扫描检测)是可在Windows平台运行的弱密码口令检测工具，支持批量多线程检查，可以快速检测弱密码、弱密码账户、密码支持和用户名组合检查，从而大大提高检查成功率并且支持自定义服务。

笔记九

本文件给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准。本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。

笔记十

IEEE 802.11是现今无线局域网通用的标准，它是由国际电机电子工程学会（IEEE）所定义的无线网络通信的标准。Wi-Fi是基于IEEE 802.11标准的WLAN。