欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能
欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2025-01-18 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读作者: cve-20
方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞
方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞 Superhero nday POC 2025-01-18 09:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;|2025年首个满分漏洞,PoC已公布,可部署后门
关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;|2025年首个满分漏洞,PoC已公布,可部署后门 黑白之道 2025-01-18 09:40 关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报; 近期,广西桂林公安网安部门工作发现,桂林市阳朔县某景点票务预约平台存在被滥用痕迹。经查,系“ 黄牛 ” 团伙利用平台的验证码组件缺陷,实施非法抢票行为。广西桂林公安网安部门 通过调查
继续阅读微信支付存漏洞?用户被异地刷脸支付成功,官方回应
微信支付存漏洞?用户被异地刷脸支付成功,官方回应 正在新闻 商密君 2025-01-18 09:30 1月12日晚6点48分,贵州网友张兰(化名)微信收到“到店刷脸支付开通成功”和“微信支付成功”的通知。 随后张兰发现,她被陌生人在安徽亳州微信刷脸成功支付106.64元。收款方为“金色华联亳州万达广场店”,支付方式为刷脸支付。 收款商家告诉《正在新闻》确有此事,“那个人结账时不仅刷脸成功,还输入对
继续阅读Graphql内审查询漏洞分析
Graphql内审查询漏洞分析 原创 Hacker 0xh4ck3r 2025-01-18 06:32 什么是graphql? GraphQL 是一个用于 API的查询语言,使用基于类型系统来执行查询的服务(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。 image-20230213232716537 漏洞挖掘 在网站与数据库
继续阅读DataCon2024解题报告WriteUp—漏洞分析赛道
DataCon2024解题报告WriteUp—漏洞分析赛道 0817iotg战队 DataCon大数据安全分析竞赛 2025-01-18 03:30 2024年11月28日,DataCon2024大数据安全分析竞赛落下帷幕。比赛共吸引706支战队、1556人报名参与。在历经多日的激烈角逐后,最终诞生了五大赛道的冠军、亚军和季军。来自武汉大学的“0817iotg”战队荣获漏洞分析赛道冠军,本期为大
继续阅读Nuclei POC 管理工具(附POC地址)
Nuclei POC 管理工具(附POC地址) 原创 perlh 蓝猫Sec 2025-01-18 02:46 wavely 一款功能强大且操作简便的 POC 工具。 ✨ 功能 一款强大的桌面端 Nuclei POC 管理工具,功能涵盖 Nuclei 模板的增删查改操作,全面支持 MacOS、Windows 和 Linux 三大操作系统。 核心功能:多POC、多任务、多目标并行扫描:高效管理并行扫
继续阅读2024年度人工智能相关重点安全漏洞盘点
2024年度人工智能相关重点安全漏洞盘点 原创 智能安全实验室 山石网科安全技术研究院 2025-01-18 02:02 一、CVE-2024-42479 漏洞概述 在 rpc_server::set_tensor 中存在一个“写入任意地址”的漏洞。该漏洞由 ggerganov 于 2024 年 8 月 12 日发布,编号为 GHSA-wcr5-566p-9cwj。受影响的版本为小于 b3561
继续阅读渗透测试 | 某系统垂直越权漏洞的挖掘
渗透测试 | 某系统垂直越权漏洞的挖掘 Myling 神农Sec 2025-01-18 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://www.freebuf.com/vuls/413421.html 作者:Myling 0x1 背景 在某个工作日的上午
继续阅读影响多数UEFI系统的CVE-2024-7344漏洞可绕过安全启动
影响多数UEFI系统的CVE-2024-7344漏洞可绕过安全启动 小蛛 狼蛛安全实验室 2025-01-18 00:18 影响多数UEFI系统的CVE-2024-7344漏洞可绕过安全启动 2025-01-16, 来源:welivesecurity, AI评估:6分(漏洞披露) ESET研究人员发现了一个名为CVE-2024-7344的漏洞,该漏洞可绕过大多数基于UEFI系统的UEFI安全启动。
继续阅读漏洞预警 | Ivanti Connect Secure栈溢出漏洞
漏洞预警 | Ivanti Connect Secure栈溢出漏洞 浅安 浅安安全 2025-01-18 00:01 0x00 漏洞编号 – # CVE-2025-0282 0x01 危险等级 – 高危 0x02 漏洞概述 Ivanti Connect Secure是一款远程访问和零信任安全解决方案,它提供了SSL VPN功能,使远程和移动用户能够安全地访问企业资源。 0x
继续阅读漏洞预警 | WordPress Plugin Radio Player SSRF漏洞
漏洞预警 | WordPress Plugin Radio Player SSRF漏洞 浅安 浅安安全 2025-01-18 00:01 0x00 漏洞编号 – # CVE-2024-54385 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress插件Radio Player是一种简单而有效的解决方案,用于将实时流媒体音频添加到您的WordPress网站。
继续阅读漏洞预警 | CraftCMS模板注入漏洞
漏洞预警 | CraftCMS模板注入漏洞 浅安 浅安安全 2025-01-18 00:01 0x00 漏洞编号 – # CVE-2024-56145 0x01 危险等级 – 高危 0x02 漏洞概述 CraftCMS是一个灵活的、易于使用的内容管理系统。 0x03 漏洞详情 CVE-2024-56145 漏洞类型: 模板注入 影响: 执行任意代码 简述: CraftCMS
继续阅读【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085) 原创 NS-CERT 绿盟科技CERT 2025-01-17 23:48 通告编号:NS-2024-0004-1 2025-01-17 TAG: Rsync、CVE-2024-12084、CVE-2024-12085 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行。 版本:
继续阅读记某OA系统Ajax旧服务的0day漏洞挖掘
记某OA系统Ajax旧服务的0day漏洞挖掘 sec0nd安全 2025-01-17 23:37
继续阅读掌握现代红队基础设施第 3 部分 — 使用 DNS 记录和 OPSEC 绕过邮件安全网关保护邮件服务
掌握现代红队基础设施第 3 部分 — 使用 DNS 记录和 OPSEC 绕过邮件安全网关保护邮件服务 hai dragon 安全狗的自我修养 2025-01-17 23:20 在“🔒掌握现代红队基础设施”系列的这一部分中,我们探讨了使用 SPF、DKIM 和 DMARC 等 DNS 记录为我们的域 online-notifications.net 域设置和保护邮件服务 ,同时实施强大的操作安全
继续阅读java漏洞集合工具 — Hyacinth
java漏洞集合工具 — Hyacinth pureqh 网络安全者 2025-01-17 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x0
继续阅读开源漏洞扫描器Nuclei 漏洞可使恶意模板绕过签名验证
开源漏洞扫描器Nuclei 漏洞可使恶意模板绕过签名验证 Rhinoer 犀牛安全 2025-01-17 16:00 开源漏洞扫描器 Nuclei 中现已修复的一个漏洞可能允许攻击者绕过签名验证,同时将恶意代码潜入在本地系统上执行的模板中。 Nuclei 是由 ProjectDiscovery 创建的流行开源漏洞扫描程序,可以扫描网站中的漏洞和其他弱点。 该项目采用基于模板的扫描系统,该系统包含超
继续阅读【漏洞预警】NetVision airPASS信息泄露漏洞(CVE-2025-0455)
【漏洞预警】NetVision airPASS信息泄露漏洞(CVE-2025-0455) cexlife 飓风网络安全 2025-01-17 15:51 漏洞描述: NеtViѕiоn Infоrmаtiоn的аirPASS存在SQL注入漏洞,允许未经身份验证的远程攻击者注入任意SQL命令以读取、修改和删除数据库内容。NetVision airPASS SQL注入漏洞可能被用于信息泄露和代码执行目
继续阅读【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085)
【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085) 长亭安全应急响应中心 2025-01-17 15:48 Rsync 是 Samba.org 团队开发的网络数据同步工具,广泛应用于本地或远程环境的文件同步。Rsync Daemon(Rsyncd)则是 Rsync 提供的服务端进程(需要手动开启),主要用于远程文件同步、公开镜像站管理
继续阅读pikachu漏洞靶场通关手册(万字图文解析)
pikachu漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-17 15:25 pikachu漏洞靶场通关 靶场链接文末获取 – 一、密码爆破 – 1.1 基于表单的暴力破解 – 1.2 验证码绕过(on server) – 1.3 验证码绕过(on client) – 1.4 toke
继续阅读初级漏洞猎手十大必备网站
初级漏洞猎手十大必备网站 原创 再说安全 再说安全 2025-01-17 15:02 网络安全领域的魅力不仅在于攻防对抗的精彩,更在于对未知领域的探索与挑战。作为初入安全行业的漏洞猎手,掌握必要的工具和资源至关重要。这份清单并非速成指南,而是基于实战经验和技术沉淀,客观真实地列出了十个对于入门者至关重要的网站。它们涵盖信息收集、漏洞情报、安全报告等多个维度,是开启技术进阶之旅的钥匙。这里没有“一键
继续阅读CVE-2024-3661,又可以考验发行版补丁及时性了
CVE-2024-3661,又可以考验发行版补丁及时性了 原创 SenderSu wavecn 2025-01-17 14:39 由于病了停更好久,今天也不写长文。 又有新高危漏洞可以测试操作系统发行版的补丁及时性了。 这就是 NetworkManager 高危CVE安全漏洞,CVE-2024-3661,CVSSv3评分7.6。 有读者可能会问,这不是2024年5月份的漏洞吗? 所以,网络安全工
继续阅读SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit(CVE-2024-44243)
SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit(CVE-2024-44243) 锋刃科技 2025-01-17 14:01 该漏洞影响 Apple macOS 操作系统,特别是 System Integrity Protection (SIP) 机制。SIP 是 macOS 上的一项安全防护功能,旨在保护系统核心文件和目录(如 /System、/usr、/bin 等)不受恶意软件
继续阅读漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感 迪哥讲事 2025-01-17 12:39 本篇文章共 2000字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 好久没有写渗透测试的文章了,因为这段时间工作和其它原因一直没时间,今天就简单水一下某次SRC的思路吧,从信息收集到接管oss半小时时间,国内某制造商,资产不多 本次信息收集采用互联网信息收集(包括不限于:shodan、fo
继续阅读针对 Ivanti Connect Secure RCE 漏洞 (CVE-2025-0282) 发布 PoC
针对 Ivanti Connect Secure RCE 漏洞 (CVE-2025-0282) 发布 PoC 网安百色 2025-01-17 11:51 点击上方 蓝字 关注我们吧~ 已在 Ivanti Connect Secure 中发现一个严重的安全漏洞,编号为 CVE-2025-0282。此漏洞允许未经身份验证的远程攻击者执行任意代码。 截至 2025 年 1 月 8 日,Ivanti 已确
继续阅读2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库
2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 原创 track 泷羽Sec-track 2025-01-17 11:33 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! goby红队版 Goby红队版 是基于网络空间映射技术的下一代网络安全工具,通过为 目标网络 建立全面的资产知识库,生成网络
继续阅读新的UEFI安全启动漏洞可能允许攻击者加载恶意Bootkit
新的UEFI安全启动漏洞可能允许攻击者加载恶意Bootkit 跳舞的花栗鼠 FreeBuf 2025-01-17 11:04 新发现的漏洞CVE-2024-73 44被认定为UEFI安全启动机制中的一个严重缺陷,可能会影响大多数基于UEFI的系统。该漏洞由ES ET的研究人员发现,允许攻击者绕过安全启动保护,在启动过程中执行不受信任的代码,从而部署像Bootkitty和BlackLotus这样的恶
继续阅读【安全圈】新的 UEFI 安全启动绕过漏洞使系统暴露于恶意 Bootkit
【安全圈】新的 UEFI 安全启动绕过漏洞使系统暴露于恶意 Bootkit 安全圈 2025-01-17 11:00 关键词 安全漏洞 新发现的漏洞 CVE-2024-7344 被认定为UEFI 安全启动机制中的一个严重缺陷,可能会影响大多数基于 UEFI 的系统。 ESET 的研究人员发现了这一漏洞,它允许攻击者绕过安全启动保护并在启动过程中执行不受信任的代码,从而部署恶意的 UEFI 启动套件
继续阅读一文解锁网络安全交流群,HW 课提能,漏洞库护航,SXF 内推进阶
一文解锁网络安全交流群,HW 课提能,漏洞库护航,SXF 内推进阶 Urkc安全 2025-01-17 10:49 点击蓝字,关注我们 一 想紧跟网络安全前沿技术的步伐?想在浓厚学术氛围中与同仁深入交流?想获取改变职业轨迹的珍贵机遇?那就不能错过我们的网络安全交流群!此群已稳健运营超一年,群内成员围绕前沿技术热烈探讨、紧跟行业动态积极交流、分享实战经验携手共进,学术氛围浓厚。 为鼓励知识共享,群内
继续阅读