【漏洞通告】某凌OA fsscCommonPortle 未授权SQL注入漏洞
【漏洞通告】某凌OA fsscCommonPortle 未授权SQL注入漏洞 原创 常行安服团队 常行科技 2024-12-30 01:38 某凌生态OA基于21年数字化办公经验,以微服务基座和低代码平台为核心,实现多云多端、全程在线、生态协同。该系统涵盖生态化、数字化、平台化、智能化四大特性,支持生态组织、生态协同,如生态化采购、客户、招聘、伙伴、访客和项目管理,以及数字化工作门户、流程、行政、
继续阅读作者: cve-20
AJ-Report 可视化大屏漏洞复现
AJ-Report 可视化大屏漏洞复现 kali笔记 2024-12-30 01:14 AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发,目前已支持30+种大屏组件/图表,不会开发,照着设计稿也可以制作大屏。 部署相关 在之前的文字中写过,
继续阅读Guns后台任意文件上传漏洞分析
Guns后台任意文件上传漏洞分析 船山信安 2024-12-30 01:12 下载地址: 主项目: https://gitee.com/stylefeng/guns 核心包: https://gitee.com/stylefeng/roses 分析认证逻辑 找个正常的接口访问,发现没有自定义filter, 我们大概看一下spring的filter执行流程是咋样的, 可以看到这里有6个filter,
继续阅读警惕!2024年全球零日漏洞利用呈现七大趋势
警惕!2024年全球零日漏洞利用呈现七大趋势 安全内参编译 安小圈 2024-12-30 00:45 安小圈 第578期 【零日漏洞】趋势 网络安全设备、远程监控和管理产品、托管文件传输服务、CI/CD工具、开源软件供应链、AI基础软件、系统自带安全功能等成为零日漏洞的热门攻击目标。 安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络
继续阅读轻量级,免费,百万POC
轻量级,免费,百万POC 菜狗 富贵安全 2024-12-30 00:38 Nuclei 是一款现代的高性能漏洞扫描程序,它利用基于 YAML 的简单模板。它使您能够设计模拟真实情况的自定义漏洞检测场景,从而实现零误报。 用于创建和自定义漏洞模板的简单 YAML 格式。 由数千名安全专家贡献,以解决流行的漏洞。 通过模拟真实世界的步骤来验证漏洞,从而减少误报。 超快速的并行扫描处理和请求聚类。 集
继续阅读警惕!新型 Mirai 僵尸网络来袭,利用未公开漏洞攻击 NVR 和路由器!
警惕!新型 Mirai 僵尸网络来袭,利用未公开漏洞攻击 NVR 和路由器! 原创 Hankzheng 技术修道场 2024-12-30 00:01 【针对 DigiEver NVR 和 TP-Link 路由器,利用未公开漏洞和旧固件,请速自查!】 安全圈近日发现了一个新型的、基于 Mirai 的僵尸网络 正在疯狂传播,它利用了一个尚未公开编号、且在 DigiEver DS-2105 Pro 网络
继续阅读漏洞预警 | 灵当CRM任意文件上传和SQL注入漏洞
漏洞预警 | 灵当CRM任意文件上传和SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本文件 简述: 灵当CRM的uploadfile.php接口存在任
继续阅读漏洞预警 | 泛微e-cology9 SQL注入漏洞
漏洞预警 | 泛微e-cology9 SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台
继续阅读漏洞预警 | 用友NC-Cloud SQL注入漏洞
漏洞预警 | 用友NC-Cloud SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC Cloud是新一代云ERP产品,为成长型、大型、巨型集团企业提供混合云解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 用友NC-Cloud的/
继续阅读如何在复杂环境下快速定位并应对网络攻击?
如何在复杂环境下快速定位并应对网络攻击? 原创 专业 信息安全动态 2024-12-29 22:00 在当今数字化时代,网络环境变得愈发复杂。随着信息技术的飞速发展,各种网络设备、系统和应用层出不穷,它们相互连接、交互,形成了一个庞大而错综复杂的网络空间。从企业的内部办公网络到全球范围的互联网,从传统的计算机系统到新兴的物联网设备,无数的节点和链路构成了这一复杂的网络生态。 与此同时,网络攻击的频
继续阅读PostgreSQL-CVE-2020-25695 提权漏洞分析
PostgreSQL-CVE-2020-25695 提权漏洞分析 珠天PearlSky 2024-12-29 16:04 适用版本 13.0 – PostgreSQL 13.0 (Debian 13.0-1.pgdg100+1) 12.4 – PostgreSQL 12.4 (Debian 12.4-1.pgdg100+1) 12.3 – PostgreSQL 12.3 (Debian 12.3-
继续阅读【0day】朗速ERP UEditorAjaxApi存在文件上传漏洞
【0day】朗速ERP UEditorAjaxApi存在文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-29 16:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 郎速ERP是一款功能强大的企业资源计划(ERP)软件,专为中小企业量身打造,旨在帮助企业优化管理流程、提升运营效率。不仅适用于制造业,还广泛适用于零售、
继续阅读赛克安全本周漏洞推送(12.22-12.27)涉及国威IP数字语音系统、黄药师、企企通、快云服务器、一卡通系统漏洞
赛克安全本周漏洞推送(12.22-12.27)涉及国威IP数字语音系统、黄药师、企企通、快云服务器、一卡通系统漏洞 thelostworld 2024-12-29 15:08 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读【SRC】SQL 注入(SQLi)漏洞检测指南
【SRC】SQL 注入(SQLi)漏洞检测指南 独眼情报 2024-12-29 11:16 SQL 注入(SQLi)漏洞检测指南 SQL 注入漏洞仍然是 web 应用程序中的一个重要安全问题。本指南将详细介绍如何识别、测试和记录 SQLi 漏洞,并强调授权测试的安全研究实践。 前提条件 在开始任何安全测试之前,请确保您已经: – 获得了测试目标系统的书面授权 使用受控的测试环境或明确的
继续阅读像职业黑客一样思考,在漏洞挖掘中可以多赚30000美元(真的吗?)
像职业黑客一样思考,在漏洞挖掘中可以多赚30000美元(真的吗?) 独眼情报 2024-12-29 11:16 在网络安全的世界里,像黑客一样思考是你的最强大武器。白帽黑客,特别是企业SRC,是一个赚大钱(存疑🐶)的领域, 技术娴熟的人通过发现系统中的漏洞来获得奖励和认可。通过培养黑客思维,你可以识别关键漏洞,帮助保障数字资产的安全,并获得显著的收入。以下是如何培养这种思维方式并最大化你的漏洞挖掘
继续阅读「漏洞复现」科汛新职教网校系统KesionEDU CheckOrder SQL注入漏洞(XVE-2024-1476)
「漏洞复现」科汛新职教网校系统KesionEDU CheckOrder SQL注入漏洞(XVE-2024-1476) 冷漠安全 冷漠安全 2024-12-29 10:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读要好好的看完喔,不然会被暴力的X哟,cjson&json 二进制漏洞利用总结
要好好的看完喔,不然会被暴力的X哟,cjson&json 二进制漏洞利用总结 闻人语默 老鑫安全 2024-12-29 10:00 简介 JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。它以纯文本形式存储和传输数据,广泛应用于客户端和服务器之间的数据交互。 JSON格式 键/值对用冒号 : 分隔。
继续阅读网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析
网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析 Victorique-123 夜组安全 2024-12-29 04:17 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!
继续阅读简易短信轰炸漏洞挖掘
简易短信轰炸漏洞挖掘 小白鱼 掌控安全EDU 2024-12-29 04:00 扫码领资料 获网安教程 本文由掌控安全学院 – 小白鱼 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 大致流程 手机号等数据被加密,通过逆向找到加密方式—>对手机号加密发送验证码—>手机带着标识值给服务器—>服务器会给手机重新生成一
继续阅读交流群新增github poc监控机器人
交流群新增github poc监控机器人 原创 棉花糖糖糖 棉花糖fans 2024-12-29 03:40 哦没有其他事,只是微信交流群添加了github监控推送,有需要的师傅可以通过公众号菜单栏加我微信,加上了发个“交流群”,我就会拉你进去的 往期文章 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动 网安新手起步举步维艰?分享一些我的经验 反面教材+1 切勿
继续阅读曹县黑客2024年“营收”超13亿美元,单笔最高3亿美元
曹县黑客2024年“营收”超13亿美元,单笔最高3亿美元 老布 FreeBuf 2024-12-29 02:02 根据区块链分析公司Chainalysis的最新报告,曹县黑客在2024年通过47次网络攻击,窃取了价值13.4亿美元的加密货币。 这一数字占年度被盗资金总额的61%,相较于2023年增加了21%。尽管2024年的事件总数达到了创纪录的303起,但总损失金额并未创下新高,因为2022年的
继续阅读YD∕T 4996-2024 电信和互联网行业网络运营者漏洞管理平台技术要求
YD∕T 4996-2024 电信和互联网行业网络运营者漏洞管理平台技术要求 计算机与网络安全 2024-12-29 01:57 微信公众号 计算机与网络安全 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 下载资料列表文件 ,公众号回复 下载 YD∕T 4996-2024 电信和互联网行业网络运营者漏洞管理平台技术要求
继续阅读NB!一款基于java开发的漏洞检测工具,集合了泛微、用友、大华、海康、致远、红帆、万户、帆软等漏洞
NB!一款基于java开发的漏洞检测工具,集合了泛微、用友、大华、海康、致远、红帆、万户、帆软等漏洞 黑白之道 2024-12-29 01:05 1► 工具介绍 基于 https://github.com/yhy0/ExpDemo-JavaFX 上添加poc 2► 新增检测漏洞 用友NC-Cloud系统接口getStaffInfo存在SQL注入漏洞 用友U8-Cloud ReleaseRepM
继续阅读紧急预警!热门 WordPress 教育主题 WPLMS 曝严重漏洞,可被黑客完全控制!
紧急预警!热门 WordPress 教育主题 WPLMS 曝严重漏洞,可被黑客完全控制! 原创 Hankzheng 技术修道场 2024-12-29 00:00 【超2.8万网站受影响,速升级修复!】 安全圈再次敲响警钟!近日,知名 WordPress 安全公司 Patchstack 披露,广受欢迎的在线教育主题 WPLMS 及其配套插件 VibeBP 存在 18 个严重安全漏洞 ,其中 7
继续阅读车机存安全漏洞 约80万辆大众电动车位置信息公开暴露数月
车机存安全漏洞 约80万辆大众电动车位置信息公开暴露数月 安全学习那些事儿 2024-12-28 23:00 2024年12月28日,据德国最权威的媒体《明镜》最新报道, 软件公司Cariad的一项安全漏洞,导致约80万辆大众集团(包括大众、奥迪、西雅特和斯柯达)在欧洲销售的电动汽车的位置信息暴露在互联网上长达数月。 近日,一举报人向《明镜》杂志及一个欧洲黑客组织举报了这件事,泄露的数据可将车主的
继续阅读PostExpKit插件使用常见问题11-18
PostExpKit插件使用常见问题11-18 TtTeam 2024-12-28 16:00 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言 好久没发原创文章了,今天我们来分享下写PostExpKit插件和 星球
继续阅读CVE-2024-9047 (WordPress File Upload 插件漏洞分析)
CVE-2024-9047 (WordPress File Upload 插件漏洞分析) 船山信安 2024-12-28 16:00 利用poc 对这个脚本进行解释。漏洞在于wfu_file_downloader.php中 源码我下下来了。 在这个链接里面可以找到老版本下载,附件我也放了一个 https://cn.wordpress.org/plugins/wp-file-upload/advan
继续阅读如何利用AI(人工智能)进行自动化SRC漏洞挖掘【附代码】
如何利用AI(人工智能)进行自动化SRC漏洞挖掘【附代码】 教父 教父爱分享 2024-12-28 15:57 目前现货有太岁符(2025太岁:蛇、虎、猴、猪)、平安符(通用)、增财符,均有师傅开光加持能量发货 买手作产品,送精品安全学习资源,有需要联系教父微信, 购买后拉群, 国外资源部 分目录 各类SRC报告 各类资源 汽车部件安全测试 比特币密码破解研究 最新CISSP题库 国外经典攻防案例
继续阅读CVE-2024-56145|Craft CMS远程代码执行漏洞(POC)
CVE-2024-56145|Craft CMS远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所
继续阅读