【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞
【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞 原创 漏洞文库 漏洞文库 2025-01-02 09:09 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任
继续阅读作者: cve-20
「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-02 08:43 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份
【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份 原创 零时科技 零时科技 2025-01-02 08:35 零时科技每月安全事件看点开始了!据一些区块链安全风险监 测平台统计显示,2024年12月,各类安全事件损失金额较11月大幅下降。12月发生较典型安全事件超 23 起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达 2860万 美元,较11月下
继续阅读新书推荐《Web漏洞分析与防范实战》
新书推荐《Web漏洞分析与防范实战》 Web安全工具库 2025-01-02 08:32 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,网络安
继续阅读研究漏洞方法指南 | Web漏洞分析与防范实战
研究漏洞方法指南 | Web漏洞分析与防范实战 新书速递→ 湘安无事 2025-01-02 08:28 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的
继续阅读SSTI模板注入漏洞详解(附一键getshell工具)
SSTI模板注入漏洞详解(附一键getshell工具) 原创 Z0安全 Z0安全 2025-01-02 08:23 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请遵守网络安全法律。本次仅用于测试,请完成测试后24小时删除,请勿用于商业用途。 01.简介 什么是SSTI: SSTI漏洞
继续阅读记一次JS中的漏洞挖掘
记一次JS中的漏洞挖掘 bcloud 亿人安全 2025-01-02 08:17 声明 本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!!! 前言 当我们拿到网站,但是又不知道密码,目录扫描也扫不出有效的信息时,我们可以从前端JS源码入手,找找是否有可以利用的点,或
继续阅读你手上的漏洞poc,真能帮你解决问题吗?
你手上的漏洞poc,真能帮你解决问题吗? 万能漏洞库 FreeBuf知识大陆APP 2025-01-02 08:01 刚开始做网安时,我有次提交SRC漏洞,因为提供的poc不给力,错过了一笔大奖励。其实那只是个简单的逻辑漏洞,但当时我缺了关键的绕过细节,所以验证没通过。后来我在网安领域经验多了,才慢慢明白:poc不光是代码,更是效率和价值的体现。在这行里,时间和质量常常决定收益。 能不能先一步搞定
继续阅读你乘上的是列车还是彗星?
你乘上的是列车还是彗星? 原创 QAX病毒响应中心 奇安信病毒响应中心 2025-01-02 07:11 一、背景 暗黑彗星(DarkComet)是一款自2012年起被广泛用于网络攻击的远程访问木马(RAT),由Jean-Pierre Lesueur(DarkCoderSc)开发,尽管其最初开发意图是为合法的远程控制提供便利,但因其功能全面、隐蔽性强,迅速被恶意攻击者用于非法目的,包括窃取敏感信息
继续阅读[武器库]-WExploit漏洞综合利用工具
[武器库]-WExploit漏洞综合利用工具 qianbenhyu 小肥羊安全 2025-01-02 07:02 0x00 免责说明 免责声明:由于传播、利用本公众号所提供的信息而造成的直接或者间接损失,均由使用者本人负责。请遵守法律法规和行业道德。 0x01 about 一款基于java开发的漏洞检测工具,集合了S2,ThinkPHP,红帆,万户,蓝凌,帆软,泛微,用友,大华漏洞等,框架使用:
继续阅读上周关注度较高的产品安全漏洞(20241216-20241222)
上周关注度较高的产品安全漏洞(20241216-20241222) 金瀚信安 2025-01-02 06:57 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2024-48384) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全绕过漏洞,攻击者可利用该漏洞绕过安全限制。 参考链接: https://www
继续阅读漏洞预警 unibox checkxxxx.php 命令执行漏洞
漏洞预警 unibox checkxxxx.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2025-01-02 06:52 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使
继续阅读LdapNightmare 一个 PoC 工具,用于针对 CVE-2024-49112 易受攻击 Windows Server
LdapNightmare 一个 PoC 工具,用于针对 CVE-2024-49112 易受攻击 Windows Server Ots安全 2025-01-02 06:46 LDAP 噩梦 Yuki Chen (@guhe120) 报告的 CVE-2024-49112 漏洞。Windows 轻量级目录访问协议 (LDAP) 中的漏洞。 由 SafeBreach Labs 创建(发布于 2025 年
继续阅读【漏洞通告】Oracle iStore 未授权访问
【漏洞通告】Oracle iStore 未授权访问 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 Oracle电子商务套件的Oracle iStore产品中存在漏洞(组件:购物车)。 受影响的支持版本包括12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7和12.2.8。易于利用的漏洞允许未经身份验证的攻
继续阅读【漏洞通告】Apache Hive & Spark 信息泄露漏洞
【漏洞通告】Apache Hive & Spark 信息泄露漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 在 Apache Hive 和 Apache Spark 这两个广泛用于大规模数据处理和分析的系统中发现了一个新披露漏洞CVE-2024-23945,该漏洞影响 CookieSigner 机制,在消息验证失败时会暴露有效的 cookie 签名,
继续阅读【漏洞通告】Perl 安全漏洞
【漏洞通告】Perl 安全漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 Perl是PERL社区的一款通用、解释型、动态的跨平台编程语言。Perl 0.13之前版本存在安全漏洞,该漏洞源于Crypt::Random::Source 包会回退到内置的 rand 函数,该函数并不是一个安全的随机位源。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Perl 安全
继续阅读【漏洞通告】华为产品 不充分的完整性漏洞
【漏洞通告】华为产品 不充分的完整性漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 华为产品存在不充分的完整性漏洞。模块在特定场景下没有执行足够的完整性检查。攻击者可以通过物理安装恶意软件来利用该漏洞。这可能会危及受影响设备的正常服务。(漏洞ID:HWPSRT-2020-00145)此漏洞已被指定为常见漏洞和暴露(UTE)ID:UTE-2020-9210。0
继续阅读【工具分享】开源,图形化Jeecg框架漏洞利用工具
【工具分享】开源,图形化Jeecg框架漏洞利用工具 Mstir 星悦安全 2025-01-02 06:29 点击上方 蓝字 关注我们 并设为 星标 0x01 Jeecg_Tools工具介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc: – JEECG 登录绕过检测 JEECG jeecgFormDemo文件上传 JEECG common文件上传 JEECG
继续阅读【Exp】古河大佬发现的 Ldap(CVE-2024-49112) 漏洞出现 Exp了,0-click
【Exp】古河大佬发现的 Ldap(CVE-2024-49112) 漏洞出现 Exp了,0-click 独眼情报 2025-01-02 06:07 之前发过消息。 古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8) SafeBreach Labs研究人员开发了一个零点击概念验证漏洞利用程序,可以通过Windows轻量级目录访问协议(LDAP)远程代码执行漏洞使未打补丁的Wind
继续阅读山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘
山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘 原创 山石网科 山石网科新视界 2025-01-02 06:00 【山石说AI】•第15篇 大模型在网络安全中的最新应用进展(四) 软件漏洞的发现向来是一场与时间的赛跑,而大模型的引入为模糊测试注入了全新的智慧动力。跳脱传统随机变异的局限,大模型精准的语言和逻辑推理能力正重新定义模糊测试的效率与深度,助力安全团队快速定位潜在威胁,为软件安
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第1期,总第19期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第1期,总第19期] 原创 安钥 方桥安全漏洞防治中心 2025-01-02 05:00 2024年,我们成功举办了18期漏洞处置SOP征文活动,累计征集到43个优质漏洞处置SOP。2025年,我们将继续推进漏洞处置SOP征文活动。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都
继续阅读mac版本微信小程序抓包学习
mac版本微信小程序抓包学习 原创 crowsec 乌鸦安全 2025-01-02 04:08 ✎ 阅读须知 乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 乌鸦安全拥有对此文章的修改、删除
继续阅读【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞
【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞 FL_Clover 网络安全007 2025-01-02 04:03 漏洞介绍 在当今复杂多变的计算机环境中SecFox运维安全管理与审计系统在近期的一次安全检查中发现了一个FastJson反序列化漏洞。该漏洞源于FastJson库在解析json数据时,未对输入进行严格校验,导致攻击者可以通过构造特殊的json数据,实现远
继续阅读【漏洞复现】某平台-checkLoginQrCode-delay-sql注入漏洞
【漏洞复现】某平台-checkLoginQrCode-delay-sql注入漏洞 原创 南极熊 SCA御盾 2025-01-02 02:29 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的
继续阅读网络安全公司“内鬼”监守自盗 当黑客窃取个人信息2.08亿条;|WPA3协议存在安全漏洞,黑客可获取WiFi密码
网络安全公司“内鬼”监守自盗 当黑客窃取个人信息2.08亿条;|WPA3协议存在安全漏洞,黑客可获取WiFi密码 黑白之道 2025-01-02 02:02 网络安全公司“内鬼”监守自盗 当黑客窃取个人信息2.08亿条; 2024年12月30日,在内江市公安局“向人民汇报”新闻通气会上, 内江市公安局网安支队通报了一起黑客通过攻击各地政企网站窃取公民数据,大肆贩卖至下游黑灰产领域的典型案例。犯罪嫌
继续阅读警惕!国产工业路由器零日漏洞疑遭攻击者利用
警惕!国产工业路由器零日漏洞疑遭攻击者利用 黑白之道 2025-01-02 02:02 该漏洞据悉已被两拨研究人员发现在野利用迹象,互联网上约有1.5万台设备受影响。 安全内参12月31日消息,美国漏洞情报公司VulnCheck警告称,有威胁行为者正在利用四信(Four-Faith)工业路由器的漏洞部署反向Shell。 被利用的漏洞编号为CVE-2024-12856,CVSS评分为7.2,由Vul
继续阅读实战利器 50个渗透攻防命令速查!
实战利器 50个渗透攻防命令速查! 原创 牛叫瘦 HACK之道 2025-01-02 02:00 一、信息收集与分析 1. nmap -sV -O -A -p- 目标IP • 这是一个综合的nmap扫描命令,用于发现目标主机的开放端口、服务版本、操作系统类型以及可能的漏洞。-sV 选项用于检测服务版本,-O 用于检测操作系统类型,-A 启用操作系统和服务检测的高级选项,-p- 表示扫描所有端口。
继续阅读重磅!国内最专业的 [ .NET 代码审计 ] 体系化学习互动社区,强势来袭!
重磅!国内最专业的 [ .NET 代码审计 ] 体系化学习互动社区,强势来袭! 小嘟 安全洞察知识图谱 2025-01-02 01:41 01 .NET漏洞背景 微软的.NET技术广泛应用于全球企业级产品,包括其知名的 Exchange、SharePoint等,国内如某友的Cloud、某通的T系列、某蝶的云产品 等也广泛采用。各行业核心业务均 依赖于此技术。但近期,在国家护网演练中,这些基于.NE
继续阅读【风险提示】国产工业路由器零日漏洞疑遭攻击者利用
【风险提示】国产工业路由器零日漏洞疑遭攻击者利用 安全内参编译 安小圈 2025-01-02 00:45 安小圈 第580期 漏洞提示 · 工业路由器 该漏洞据悉已被两拨研究人员发现在野利用迹象,互联网上约有1.5万台设备受影响。 安全内参12月31日消息,美国漏洞情报公司VulnCheck警告称,有威胁行为者正在利用四信(Four-Faith)工业路由器的漏洞部署反向Shell。 被利用的漏洞编
继续阅读