API接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。 YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务，导致攻击者注册用户后，即可通过 Mock功能远程执行任意代码。

XXL-JOB是一个轻量级分布式任务调度平台，用于实现大规模任务的调度和执行。 先前版本的XXL-JOB默认情况下API接口没有配置认证措施，现已加入accessToken，但公网仍然有大量使用默认token的机器。未授权的攻击者可构造恶意请求，触发反序列化，造成远程执行命令，直接控制服务器。

CNVD-2021-26090 | CNVD-2022-44216 | CNVD-2023-40905 | CNVD-2022-76275 | CNVD-2021-51924 | CNVD-2022-38178 | DVB-2023-4908

记录一下长亭雷池WAF的使用教程

记录一些弱口令

浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商。 浙江大华技术股份有限公司DSS配置系统存在逻辑缺陷漏洞，攻击者可利用该漏洞重置配置系统密码，获取敏感信息。

浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商。 浙江大华技术股份有限公司DSS存在逻辑缺陷漏洞，攻击者可利用该漏洞重置系统密码，获取敏感信息。