报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析
报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析 看雪课程 看雪学苑 2025-01-21 09:59 如今,无人机已经成为各行各业的重要工具,其应用场景日益广泛。例如从军事侦察到物流配送,从影视拍摄到农业监测。随着无人机技术的普及,其安全问题也逐渐凸显。例如无人机遭受黑客攻击、数据泄露、飞行失控等安全事件屡见不鲜,给个人隐私、企业资产乃至国家安全带来了严重威胁。 掌握无人机安全攻防
继续阅读作者: cve-20
奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深
奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深 虎符智库 2025-01-21 09:57 本文 2660 字 阅读约需 9 分钟 2025年1月21日,奇安信发布《2024年度网络安全漏洞威胁态势研究报告》(以下简称:《报告》)。《报告》指出,2024年全球新增漏洞数量再创新高,漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网(IoT)、国 产软件以及关键基础设
继续阅读SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS
SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS 原创 zangcc Eureka安全 2025-01-21 09:29 点击上方 蓝字 关注我们 0x01 前言 这是之前我在edusrc挖的一个小漏洞。如果是单纯的反射型xss,平台是不收录的,但是我这个xss属于是多个漏洞在一起的组合。当时本来是想打一个有证书的高校,但是最后才发现不对劲,这个名字跟我挖的这个实在是太像了,打歪了。。
继续阅读Windows 零日漏洞遭利用:CVE-2024-49138 PoC 代码发布
Windows 零日漏洞遭利用:CVE-2024-49138 PoC 代码发布 Ots安全 2025-01-21 09:28 安全研究员 MrAle_98 最近发布了一个针对零日漏洞 CVE-2024-49138 的概念验证 (PoC) 漏洞。此漏洞影响 Windows 通用日志文件系统 (CLFS) 驱动程序,CVSS 评分为 7.8,允许攻击者在受影响的设备上获得 SYSTEM 权限。 该漏洞
继续阅读中小企业及创业公司信息安全建设指南
中小企业及创业公司信息安全建设指南 原创 Monyer 梦之光芒 梦之光芒的电子梦 2025-01-21 09:17 注:本文以问答的形式来形成这份“中小企业及创业公司信息安全建设指南”,文中探讨了信息安全之于公司发展前期、团队建设、安全运营阶段及安全价值的各方面问题,助力企业做好信息安全建设。 一、公司发展前期 – 一家公司从什么时候起,应该研究建立信息安全部门? 几乎所有的大公司都
继续阅读2025年首个满分漏洞,PoC已公布,可部署后门
2025年首个满分漏洞,PoC已公布,可部署后门 点击关注 👉 马哥网络安全 2025-01-21 09:00 云攻击者正在大肆利用名为Max – Critical Aviatrix RCE漏洞(编号CVE-2024-50603),此漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码,网络犯罪分子借此漏洞植入恶意软件。 最坏的情况下,该漏洞会让未
继续阅读蛇年新禧,祥福并济|360漏洞云漏洞众包响应平台放假公告
蛇年新禧,祥福并济|360漏洞云漏洞众包响应平台放假公告 360漏洞众包响应平台 2025-01-21 08:54 平台放假公告 HAPPY NEW YEAR – 一 二 三 四 五 六 日 27 廿八 28 除夕 29 春节 30 初二 31 初三 1 初四 2 初五 3 立春 4 初七 5 初八 6 初九 7 初十 8 班 9 十二 尊敬的安全研究员: 感谢您长期以来对360漏洞云
继续阅读《网信自主创新调研报告》表彰大会召开,360漏洞云获多项荣誉
《网信自主创新调研报告》表彰大会召开,360漏洞云获多项荣誉 360漏洞云 2025-01-21 08:49 1月18日,《网信自主创新调研报告》编委会在北京召开了2024年度表彰大会。来自编委会和报告参编单位的近30名代表参加了会议。会议对为《网信自主创新调研报告》编写和发布做出重要贡献的人员颁发了先进工作者证书,同时启动了“网信自主创新百人论坛”。360漏洞云总经理胡晓娜荣获生态领域先进工作者
继续阅读蛇年新禧,祥福并济|360漏洞云平台放假公告
蛇年新禧,祥福并济|360漏洞云平台放假公告 360漏洞云 2025-01-21 08:49 平台放假公告 HAPPY NEW YEAR – 一 二 三 四 五 六 日 27 廿八 28 除夕 29 春节 30 初二 31 初三 1 初四 2 初五 3 立春 4 初七 5 初八 6 初九 7 初十 8 班 9 十二 尊敬的安全研究员: 感谢您长期以来对360漏洞云平台的支持与关注!时光
继续阅读【漏洞速递】PHP 8.1.0-dev RCE &SQLi
【漏洞速递】PHP 8.1.0-dev RCE &SQLi TtTeam EchoSec 2025-01-21 08:32 文章来源: TtTeam User-Agentt: zerodiumsleep(5); User-Agentt: zerodiumsystem(‘id’); 往期回顾 1111 1. ☆ ☆ ☆ ☆ ☆ | CVE-2023-33246 RC
继续阅读【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061)
【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061) 原创 NS-CERT 绿盟科技CERT 2025-01-21 08:19 通告编号:NS-2025-0005 2025-01-21 TAG: MongoDB Mongoose、搜索注入、CVE-2025-23061 漏洞危害: 攻击者利用此漏洞,可实现代码注入。 版本: 1.0 1 漏洞概述 近日,绿盟科技
继续阅读卓软计量业务管理平台 image.ashx 任意文件读取漏洞
卓软计量业务管理平台 image.ashx 任意文件读取漏洞 Superhero nday POC 2025-01-21 07:52 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读靶机复现-pikachu靶场文件包含漏洞
靶机复现-pikachu靶场文件包含漏洞 泷羽SEC-ohh 2025-01-21 07:28 本篇文章旨在为网络安全渗透测试靶机复现学习。通过阅读本文,读者将能够对渗透pikachu靶场文件包含漏洞复现有一定的了解 原文学习链接 CSDN博主: One_Blanks 靶机资源下载 phpstudy pikachu 一、前言 文件包含漏洞是编程中的一种安全隐患,常见于PHP等语言。它源于程序运行时
继续阅读盘点 2024 年备受关注的那些高风险漏洞
盘点 2024 年备受关注的那些高风险漏洞 原创 404实验室 知道创宇404实验室 2025-01-21 07:20 2024年,网络安全领域接连曝出了一系列高危漏洞,这些漏洞不仅影响范围广泛,而且破坏力极大,对全球的网络安全构成了严峻挑战。以下是我们从今年的安全漏洞应急中总结出的一些颇具危害性和影响力的网络安全漏洞,排名不分先后,当然,我们也从Seebug漏洞平台访问数据和ZoomEye网络空
继续阅读灵当CRM getMyAmbassador SQL注入漏洞
灵当CRM getMyAmbassador SQL注入漏洞 Superhero nday POC 2025-01-21 06:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读商混ERP系统 SQL注入漏洞复现
商混ERP系统 SQL注入漏洞复现 孔方兄 巢安实验室 2025-01-21 06:30 一、漏洞介绍 杭州荷花软件有限公司开发的商混ERP系统。这套系统主要是处理建筑公司或者各项工程的搅拌站管理,内部含有销售模块、生产管理模块、实验室模块、人员管理等,该公司的商品混凝土ERP系统/Sys/DictionaryEdit.aspx处dict_key参数存在SQL报错注入漏洞,攻击者可通过该漏洞获取数
继续阅读山石网科获评“工信部车联网产品安全漏洞专业库支撑单位”
山石网科获评“工信部车联网产品安全漏洞专业库支撑单位” 山石网科 山石网科新视界 2025-01-21 06:00
继续阅读【漏洞预警】MongoDB Mongoose未授权 代码注入漏洞CVE-2025-2306
【漏洞预警】MongoDB Mongoose未授权 代码注入漏洞CVE-2025-2306 cexlife 飓风网络安全 2025-01-21 05:40 漏洞描述: Mongoose库被发现存在严重漏洞,该漏洞源于对嵌套的$where过滤器处理不当,可能被攻击者利用来暴露敏感数据和操纵搜索结果,全网有超过140万个使用Mongoose httpd 服务器的应用可能受到此漏洞影响,建议受影响用户及
继续阅读Google Cloud研究人员揭露Rsync文件同步工具中的多个安全漏洞
Google Cloud研究人员揭露Rsync文件同步工具中的多个安全漏洞 Hankzheng 技术修道场 2025-01-21 05:31 近日,Google Cloud漏洞研究团队的Simon Scannell、Pedro Gallegos和Jasiel Spelman在Unix系统上广泛使用的文件同步工具Rsync中发现了多达六个安全漏洞。这些漏洞中,部分可被攻击者利用在客户端上执行任意代码
继续阅读7-Zip高危漏洞预警:关于CVE-2025-0411漏洞的应对指南
7-Zip高危漏洞预警:关于CVE-2025-0411漏洞的应对指南 原创 mayfly42 独眼情报 2025-01-21 05:17 📢 漏洞预警📢 漏洞核心信息 编号:CVE-2025-0411 CVSS评分:7.0(高危级) 影响范围:24.09之前所有7-Zip版本 发现者:Trend Micro ZDI研究员Peter Girnus 攻击路径:通过伪造压缩包绕过Windows文件安全标
继续阅读2025年十大最佳漏洞管理工具
2025年十大最佳漏洞管理工具 e安在线 e安在线 2025-01-21 05:01 在检测、分析,和修补Web以及网络应用程序中的漏洞方面,漏洞管理工具都发挥着重要的作用。 安全领域常用的术语包括漏洞、风险和威胁。漏洞是指系统中可能造成威胁的弱点,风险是指潜在的损害或损失,威胁是指利用漏洞造成的不利事件。发现这些弱点是保护公司资产和数据的关键。 漏洞管理工具的目标是识别问题。许多公司和安全研究人
继续阅读SecScan强大的端口扫描与漏洞扫描工具——梭哈!!!
SecScan强大的端口扫描与漏洞扫描工具——梭哈!!! Secu的矛与盾 Secu的矛与盾 2025-01-21 04:50 介绍 SecScan 是一款集漏洞探测、端口扫描、指纹识别为一体的安全工具,拥有多样化的漏洞检测方法,支持对目标自动化进行 端口扫描->指纹识别->服务口令探测->漏洞探测 流程,旨在帮助用户/红队选手快速发现漏洞风险,提升漏洞管理效率。 核心亮点 一、
继续阅读工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】
工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】 wolven Chan 风铃Sec 2025-01-21 04:18 工具介绍 Burpsuite存储桶配置不当漏洞检测插件,目前支持阿里云,华为云,腾讯三个厂商的检测,存储桶文件遍历,acl读写,Policy读写及未授权上传。 用法 存储桶相关配置检测自动化,访问目标网站将会自动检测,如:访问的网站引用存储桶上的静态资源,就会
继续阅读上周关注度较高的产品安全漏洞(20250113-20250119)
上周关注度较高的产品安全漏洞(20250113-20250119) 国家互联网应急中心CNCERT 2025-01-21 03:13 一、境外厂商产品漏洞 1、IBM Security Directory Integrator操作系统命令注入漏洞 IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Securit
继续阅读锐捷-Smartweb管理系统-密码信息泄露漏洞
锐捷-Smartweb管理系统-密码信息泄露漏洞 骇客安全 骇客安全 2025-01-21 03:00 漏洞描述 锐捷网络股份有限公司无线smartweb管理系统存在逻辑缺陷漏洞,攻击者可从漏洞获取到管理员账号密码,从而以管理员权限登录。 漏洞影响 锐捷网络股份有限公司 无线smartweb管理系统 FOFA title="无线smartWeb–登录页面" 漏洞复现 登录页面
继续阅读年度报告 | 2024年应该知道的漏洞都在这了!
年度报告 | 2024年应该知道的漏洞都在这了! 原创 奇安信 CERT 奇安信 CERT 2025-01-21 03:00 2024 年度 网络安全漏洞态势 2024年,全球网络安全领域继续面对日益严峻的挑战。在数字化转型的大背景下,漏洞利用成为网络攻击的重中之重。根据统计,全球新增漏洞数量再创新高,漏洞的复杂性加剧,修复周期也在不断缩短。然而,攻击者的手段日趋复杂,基于漏洞的攻击路径更加隐蔽且
继续阅读Yubico警告Linux和macOS用户,pam-u2f中存在2FA安全漏洞
Yubico警告Linux和macOS用户,pam-u2f中存在2FA安全漏洞 SOC 赛欧思安全研究实验室 2025-01-21 02:28 CVE-2024-53691:针对严重 QNAP RCE 漏洞发布 PoC 漏洞利用程序 无需拆机!Windows 11 BitLocker加密文件被破解 又又又出事,1.5 万台 Fortinet 设备配置信息在暗网泄露 黑客滥用微软 VSCode 远程
继续阅读一个支持被动代理的调用 KIMI AI 进行越权漏洞检测的工具
一个支持被动代理的调用 KIMI AI 进行越权漏洞检测的工具 黑白之道 2025-01-21 01:53 工具介绍 利用工作之余(摸鱼)时间花 2 小时完成的小工具,简易版支持通过被动代理调用 KIMI AI 进行越权漏洞检测,检测能力依赖 KIMI API 实现。目前功能较为基础,尚未优化输出,也未加入扫描失败后的重试机制等功能。 工作流程 使用方法 下载源代码; 编辑config.go文件,
继续阅读电诈保护伞?虚拟号漏洞发现与利用
电诈保护伞?虚拟号漏洞发现与利用 原创 Qin. 无尽藏攻防实验室 2025-01-21 00:49 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 0x01 前言 最近给某单位做渗透的时候挖到一个虚拟号的逻辑漏洞,本来是想写全网首发的,但是可惜
继续阅读一款java漏洞集合工具
一款java漏洞集合工具 Hyacinth 安全之眼SecEye 2025-01-21 00:10 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法
继续阅读