优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景
优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景 原创 谋乐科技BUGBANK 行长叠报 2025-01-06 10:00 2024年12月30日,上海市互联网业联合会、上海金融信息行业协会、上海市工商联数字经济商会、上海市信息安全行业协会联合主办的“2024年度数据安全优秀案例评选”入选名单发布,上海谋乐网络科技有限公司(BUGBANK)选送案例“公共数据安全数字运营赋能平台构
继续阅读作者: cve-20
日系三大车企纷纷投靠华为
日系三大车企纷纷投靠华为 谈思实验室 2025-01-06 10:00 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 日前,有消息爆料,本田与华为在智能驾驶领域展开合作,探索并行解决方案。本田计划在其未来的车型中搭载华为的智能驾驶解决方案,这一合作将体现在即将发布的“烨品牌”车上。 另外也有消息指出,知情人士透露,“未来不排除‘烨品牌’旗下同一款车型会采用‘Honda SENSING 360
继续阅读2024年度(第二期)CNNVD漏洞奖励评选结果公告
2024年度(第二期)CNNVD漏洞奖励评选结果公告 原创 CNNVD CNNVD安全动态 2025-01-06 09:19 点击蓝字 关注我们 近期,CNNVD开展了2024年度(第二期)接报漏洞奖励评选工作,其中26个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获奖名单如下。 特此公告 国家信息安全漏洞库(CNNVD) 2025年1月6日
继续阅读蓝凌OA WebService sysTagWebService 任意文件读取漏洞
蓝凌OA WebService sysTagWebService 任意文件读取漏洞 Superhero nday POC 2025-01-06 09:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告
继续阅读三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃
三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃 安全牛 2025-01-06 08:58 点击蓝字·关注我们 / aqniu 新闻速览 •三部委联合印发《国家数据基础设施建设指引》 •网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见 •双重点击劫持攻击警报:影响几乎所有网站 •新型安卓恶意软件Fire
继续阅读大华智能物联综合管理平台 GetClassValue.jsp 远程代码执行漏洞
大华智能物联综合管理平台 GetClassValue.jsp 远程代码执行漏洞 Superhero nday POC 2025-01-06 07:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读雷神众测漏洞周报2024.12.30-2025.1.5
雷神众测漏洞周报2024.12.30-2025.1.5 原创 雷神众测 雷神众测 2025-01-06 07:02 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读CVE-2024-50379|条件竞争Tomcat RCE POC(首发)
CVE-2024-50379|条件竞争Tomcat RCE POC(首发) TtTeam 2025-01-06 06:41 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,只做1day的漏洞复现, 所有行为与本公众号无关。 01 漏洞描述 如果默认 servlet 对大小写不敏感的文件系统启用了写入功能(只读初始化参数设置为非默认值 false),则在负载情况下同时读取和
继续阅读山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆
山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆 原创 山石网科 山石网科新视界 2025-01-06 06:01 【山石说AI】•第16篇 大模型在网络安全中的最新应用进展(五) 漏洞检测是网络安全的“侦查兵”,而大模型则为这一领域增添了革命性的技术活力。从深度语义理解到精准漏洞定位,大模型正在重新书写检测规则,为安全从业者提供更强大的技术武器,让防线更智慧、更高效。 本节概述了利用大模
继续阅读CVE-2024-43452:针对 Windows 特权提升漏洞的 PoC 漏洞发布
CVE-2024-43452:针对 Windows 特权提升漏洞的 PoC 漏洞发布 Ots安全 2025-01-06 05:53 安全研究人员公布了 Windows 注册表特权提升漏洞 CVE-2024-43452 (CVSS 7.5) 的技术细节和概念验证 (PoC) 漏洞代码。该漏洞由 Google Project Zero 的 Mateusz Jurczyk 报告,利用了 Windows
继续阅读CVE-2024-56513:Karmada 漏洞使攻击者能够控制 Kubernetes 系统
CVE-2024-56513:Karmada 漏洞使攻击者能够控制 Kubernetes 系统 Ots安全 2025-01-06 05:44 Karmada (Kubernetes Armada) 中发现了一个高危漏洞 (CVE-2024-56513) ,该管理平台旨在促进跨多个 Kubernetes 集群和云的云原生应用程序。该漏洞的 CVSSv4 评分为 8.7,对使用 Karmada 的 P
继续阅读CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令
CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令 Ots安全 2025-01-06 05:44 最近,Fortinet(及其客户)的日子不好过,甚至比平时更难过。最近,设备漏洞不断增加,而FortiManager(用于集中管理 FortiGate 设备的工具)中又出现了严重的 CVSS 9.8 漏洞。 与往常一样,本博
继续阅读【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞
【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞 奥村燐 弥天安全实验室 2025-01-06 04:18 网安引领时代,弥天点亮未来 **** 0x00漏洞描述 爱数AnyShare的SMTP_GetConfig接口存在信息泄露漏洞。攻击者可以通过该接口获取到敏感的配置信息,例如SMTP服务器的用户名和密码等。 0x01影响范围 我也不知道。 0x02复现过程 POC
继续阅读从js到高危垂直越权漏洞挖掘
从js到高危垂直越权漏洞挖掘 白帽子左一 白帽子左一 2025-01-06 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1. 访问目标 在漏洞挖掘时,我们再次遇到一个仅提供登录表单的目标系统,我们尝试通过 数据泄露监控平台 寻找可能存在的凭据信息,以便用于登录目标系统。长话短说,我们找到了一组有效的账户信息,
继续阅读漏洞盒子批量提交脚本5.1.26
漏洞盒子批量提交脚本5.1.26 信安404 2025-01-06 04:00 前言 基于 掌控安全-劲夫 漏洞盒子自动提交脚本3.0 修改 注:同一CMS的同一漏洞数量超过5个时建议使用该脚本,少于该数量手动应当更快。 文件简介 submitted.txt : 用于记录提交失败的网站,并且会记录提交失败的原因,不用管。 bugs.xlsx : 填写每个站点的信息(漏洞标题(网页title)、厂商
继续阅读爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作
爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作 原创 CDra90n 安全学术圈 2025-01-06 03:37 原文标题:Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Bounty Ecosystem 原文作者:Yangheran Piao, Temim
继续阅读协众OA checkLoginQrCode SQL注入漏洞(XVE-2024-34879)
协众OA checkLoginQrCode SQL注入漏洞(XVE-2024-34879) Superhero nday POC 2025-01-06 03:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦
继续阅读海康威视iSecure Center综合安防管理平台center任意文件上传漏洞
海康威视iSecure Center综合安防管理平台center任意文件上传漏洞 原创 菜鸟学渗透 菜鸟学渗透 2025-01-06 02:50 使用说明:本文章仅用于学习技术研究,请勿用于违法用途,造成任何后果自负与本人无关,请自觉遵守国家法律法规。 1、漏洞描述 HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场
继续阅读漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞
漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 原创 微步情报局 微步在线研究响应中心 2025-01-06 02:50 漏洞概况 LDAP 是一种开放的、跨平台的、行业标准的应用层协议,用于访问和维护分布式目录信息服务。 它定义了客户端如何与目录服务器进行通信,以查询、修改和管理目录数据。 微步情报局获取到Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏
继续阅读【漏洞复现】某平台-LicManage-sql注入漏洞
【漏洞复现】某平台-LicManage-sql注入漏洞 原创 南极熊 SCA御盾 2025-01-06 02:06 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读Jeecg框架漏洞利用工具
Jeecg框架漏洞利用工具 SecHub网络安全社区 2025-01-06 02:01 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的技术、思路及
继续阅读严重漏洞,数十万大众电动车主数据可能遭到泄漏
严重漏洞,数十万大众电动车主数据可能遭到泄漏 龙猫 星尘安全 2025-01-06 02:00 点击上方 蓝字 关注我们 事件概览 800,000 辆 Volkswagen Group 电动汽车的敏感数据在不安全的云服务器上暴露。 举报人发现的数据泄露包括 GPS 数据和车辆状态,从而可以跟踪车主。 受影响的用户包括政治家、警察和情报人员,其中大多数车辆位于欧洲。 数据泄露泄露了个人的日常活动和位
继续阅读ysoSimple:简易的Java漏洞利用工具
ysoSimple:简易的Java漏洞利用工具 黑白之道 2025-01-06 01:55 01 工具介绍 ysoSimple: 简易的Java漏洞利用工具,集成Java反序列化,Hessian反序列化,XStream反序列化,SnakeYaml反序列化,Shiro550,JSF反序列化,SSTI模板注入,JdbcAttackPayload,JNDIAttack,字节码生成。 ysoSimple工
继续阅读刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况
刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况 黑白之道 2025-01-06 01:55 刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件” 1 月 5 日消息,据“潮新闻”报道,最近杭州市民魏先生却遇上了一件意外事件,登录某银行企业客户端时,刷脸刷出来的却是别人的账号。 1 月 2 日当天
继续阅读【漏洞复现】MasterSAM存在任意文件下载漏洞(CVE-2024-55457)
【漏洞复现】MasterSAM存在任意文件下载漏洞(CVE-2024-55457) 原创 漏洞文库 漏洞文库 2025-01-06 01:46 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具
继续阅读【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞
【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞 原创 漏洞文库 漏洞文库 2025-01-06 01:46 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的
继续阅读【漏洞文章】大华智能物联综合管理平台远程代码执行漏洞
【漏洞文章】大华智能物联综合管理平台远程代码执行漏洞 原创 1ang 小羊安全屋 2025-01-06 01:13 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PAR
继续阅读【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞
【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞 FL_Clover 网络安全007 2025-01-06 01:01 漏洞介绍 在当今复杂多变的网络安全环境中, 快云服务器助手存在的 GetDetail 任意文件读取漏洞,是一个具有较高安全风险的隐患。该漏洞使得不法分子有可能利用其机制上的缺陷,通过构造特定的请求等方式,突破正常的权限限制,实现对服务器上任意文件进行读取操作。
继续阅读【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)
【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) jylove 神农Sec 2025-01-06 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2961-ndayproje
继续阅读W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞 原创 菜鸟学渗透 菜鸟学渗透 2025-01-06 00:30 一、漏洞简介 W&Jsoft-D-Security数据防泄露系统(DLP)存在的任意文件读取漏洞,源于对用户输入路径缺乏充分验证,攻击者可通过构造路径穿越字符读取服务器上的任意文件,可能导致敏感信息泄露,如配置文件、用户数据等。建议通过严
继续阅读