一个Nmap命令扫出企业漏洞?资深黑客总结的4大扫描神器
一个Nmap命令扫出企业漏洞?资深黑客总结的4大扫描神器 原创 VlangCN HW安全之路 2024-12-26 12:07 引言 在当今日益复杂的网络环境下,网络扫描已成为网络安全管理的基石。作为IT专业人员,我们需要随时掌握网络中的设备状况,无论是通过网络架构文档还是主动扫描。网络扫描不仅能帮助识别网络中的设备,更能检测未授权设备、开放端口以及潜在的安全漏洞。本文将深入介绍几款实用的网络扫描
继续阅读作者: cve-20
9.9分的SQL注入漏洞,可获admin权限
9.9分的SQL注入漏洞,可获admin权限 流苏 FreeBuf 2024-12-26 11:02 Apache软件基金会(ASF)已发布安全更新,修复了Traffic Control中的一个关键安全漏洞。若此漏洞被成功利用,攻击者便能在数据库中执行任意结构化查询语言(SQL)命令。该SQL注入漏洞被标识为CVE-2024-45387,在CVSS评分系统中获得了9.9分(满分为10分)。 项目维
继续阅读Apache Traffic Control存在严重的SQL注入漏洞,可在数据库中执行任意命令
Apache Traffic Control存在严重的SQL注入漏洞,可在数据库中执行任意命令 综合编译 代码卫士 2024-12-26 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache 软件基金会 (ASF) 已发布安全更新,修复了 Traffic Control 中的一个严重漏洞CVE-2024-45387(CVSS评分9.9)。该漏洞可导致攻击者在数据库中执行任
继续阅读大众车机系统现漏洞:黑客能获取GPS等隐私,已修复
大众车机系统现漏洞:黑客能获取GPS等隐私,已修复 安世加 安世加 2024-12-26 10:15 近日,大众汽车(Volkswagen)的车载系统安全性问题引发了广泛关注。在欧洲举办的一场知名网络安全盛会——Black Hat Europe 2024上,安全研究人员披露了大众及其子品牌斯柯达车辆中的12项重大安全漏洞。 这些漏洞的严重性不容忽视,它们允许攻击者通过自制的蓝牙设备,无需经过正常的
继续阅读【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896)
【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896) 启明星辰安全简讯 2024-12-26 10:08 一、漏洞概述 漏洞名称 libxml2 XML外部实体注入漏洞 CVE ID CVE-2024-40896 漏洞类型 XXE 发现时间 2024-12-25 漏洞评分 9.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/E
继续阅读PWN入门:三打竞态条件漏洞-TOCTOU
PWN入门:三打竞态条件漏洞-TOCTOU 福建炒饭乡会 看雪学苑 2024-12-26 09:59 有资源就有竞争,在计算机的世界中也是如此,Linux系统中最为常见的一种情况就是多个线程使用同一资源带来争抢问题。 那么我们应该怎么让恶意程序赢得资源的竞争并做出一些坏事呢?那么是不是只能借助线程达到目的,进程就不行呢? 首先我们先了解一下Linux中线程与进程。 Linux中的线程 在计算机系统
继续阅读系统0day安全-Windows平台漏洞挖掘(第5期)
系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2024-12-26 09:59 Windows操作系统广泛应用于各类企业和个人设备中,其安全性至关重要。 · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌握Windows安全防护的关键技能。 核心: 1.帮助安全从业者跟进行业前沿技术,提升个人基
继续阅读创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测
创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-26 09:56 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读操作系统主机安全测试:脆弱点与漏洞分析
操作系统主机安全测试:脆弱点与漏洞分析 小智 智检安全 2024-12-26 09:45 免责声明: 涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担! 一、引言 在当今数字化飞速发展的时代,信息技术如同纵横交错的神经网络,深度嵌入社会运行的每一寸肌理。从支撑跨国企业全球协同运作的复杂信息架构,到守护普通民众日常线上交互的各类应用平台,系统安全已然
继续阅读「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞
「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞 冷漠安全 冷漠安全 2024-12-26 09:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读【PoC】CVE-2024-50379 (9.8)Tomcat竞态条件漏洞深度分析及 PoC
【PoC】CVE-2024-50379 (9.8)Tomcat竞态条件漏洞深度分析及 PoC 独眼情报 2024-12-26 09:33 应急响应比赛开始了,就差你了🐶 solarsec,公众号:solar应急响应团队第一届“Solar杯”·应急响应挑战赛比赛报名开始! 在网络安全领域不断发展的今天,及时发现并应对漏洞对保护敏感系统至关重要。最近,在全球使用最广泛的 Web 应用服务器之一 Apa
继续阅读从SRC漏洞挖掘到红队综合利用的思路转变
从SRC漏洞挖掘到红队综合利用的思路转变 原创 487DonkeySec 487Donkey Sec 2024-12-26 09:15 红队第一期的培训已经结束,跟学员了解到一些情况,做渗透测试、挖SRC都能频频出漏洞,但并不了解如何去将漏洞深入的 综合 利用。 在日常的渗透测试与漏洞挖掘过程中,安全研究人员往往会尽量做到点到为止,仅仅证明漏洞的存在即可。然而,在实际的攻击场景中,漏洞挖掘仅仅是第
继续阅读4F级民航机场如何完善实战能力建设?
4F级民航机场如何完善实战能力建设? 诸葛象 斗象智能安全 2024-12-26 05:31 “智慧机场”建设已然成为我国民航业数字化升级的核心驱动力与显著趋势,以其丰富的旅客服务应用引领行业创新。位列全国排名前五的某4F级国际机场,作为新世代智慧机场的典型代表,随着数字化应用的广泛部署,其网络环境呈现出设备种类繁多、应用系统复杂的特点,极易遭受网络威胁。 为应对挑战,该国际机场选择与斗象科技安全
继续阅读工具集:EZ【多功能跨平台综合漏洞扫描器】
工具集:EZ【多功能跨平台综合漏洞扫描器】 风铃Sec 2024-12-26 04:28 工具介绍 EZ是一款集信息收集、端口扫描、服务暴破、URL爬虫、指纹识别、被动扫描为一体的跨平台漏洞扫描器,渗透测试中,可辅助发现常见的SQL注入、XSS、XXE、SSRF之类的漏洞,通过内置的POC辅助发现Apache Shiro、RabbitMQ、Struts2之类的通用组件漏洞,以及某服VPN、通达OA
继续阅读易宝OA GetUDEFStreamID SQL注入漏洞
易宝OA GetUDEFStreamID SQL注入漏洞 Superhero nday POC 2024-12-26 04:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读【工具分享】超好用Nuclei 图形化GUI管理工具+14w poc
【工具分享】超好用Nuclei 图形化GUI管理工具+14w poc 原创 Mstir 星悦安全 2024-12-26 04:06 点击上方 蓝字 关注我们 并设为 星标 0x01 Wavely介绍 wavely是一个好用的nuclei GUI POC管理工具,且支持诸多功能,能实现对目标站点的多态化扫描,且版本更迭较快. 下载地址在文末,可直接拉至底部获取 实现 nuclei poc 管理的
继续阅读锐捷网络云管理平台爆出严重漏洞,可从云端劫持WiFi热点
锐捷网络云管理平台爆出严重漏洞,可从云端劫持WiFi热点 GoUpSec 2024-12-26 02:14 近日,网络安全研究人员在锐捷网络的云管理平台中发现多个严重漏洞,这些漏洞可能使攻击者全面控制网络设备,进而对企业和个人用户的网络安全构成重大威胁。 从云端入侵WiFi接入点 来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指出,这些漏洞不仅影响锐
继续阅读【漏洞复现】某平台-article-abstract-delay-sql注入漏洞
【漏洞复现】某平台-article-abstract-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-26 02:11 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的
继续阅读【漏洞通告】Adobe ColdFusion 任意文件读取漏洞
【漏洞通告】Adobe ColdFusion 任意文件读取漏洞 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Adobe 发布的紧急安全更新中显示,修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件,从而可能导致敏感数据和配置文件泄露。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Adobe Col
继续阅读【漏洞通告】Operations Bridge Manager 外部实体注入
【漏洞通告】Operations Bridge Manager 外部实体注入 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Opentext$™ Operations Bridge Manager中的不正确限制的HTML外部实体引用漏洞允许操作输入数据。该漏洞可能会被利用来获取机密信息。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Operations Bri
继续阅读【漏洞通告】IBM Cognos Analytics Mobile for Android 加密算法过弱
【漏洞通告】IBM Cognos Analytics Mobile for Android 加密算法过弱 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 IBM Cognos Analytics Mobile for Android 1.1.14使用弱于预期的加密算法,可能允许攻击者解密高度敏感的信息02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM Cogn
继续阅读【漏洞通告】Craft CMS 远程代码执行漏洞
【漏洞通告】Craft CMS 远程代码执行漏洞 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Craft CMS存在一个远程的远程代码执行漏洞,如果受影响版本的Craft CMS用户的 php.ini 配置文件中启用了”register_argc_argv”,未授权攻击者可以利用该漏洞执行任意代码,导致服务器失陷。02 漏洞处置综合处置
继续阅读CVE-2024-40896 (CVSS 9.1):libxml2 中发现严重 XXE 漏洞
CVE-2024-40896 (CVSS 9.1):libxml2 中发现严重 XXE 漏洞 独眼情报 2024-12-26 02:01 广泛使用的 XML 解析库 libxml2 中新发现的一个缺陷可能允许攻击者破坏系统并窃取敏感数据。 libxml2 是一个用 C 语言编写的强大的 XML 解析库。它与各种编程语言(包括 C++、Python 和 Ruby)的绑定增强了其多功能性,使其成为许多
继续阅读DigiEver DS-2105 中的 0day 漏洞将 DVR 变成僵尸网络
DigiEver DS-2105 中的 0day 漏洞将 DVR 变成僵尸网络 独眼情报 2024-12-26 02:01 数字攻击从挡风玻璃下开始。 网络安全研究人员发现了一个新的基于Mirai的僵尸网络,该网络正在积极利用DigiEver DS-2105 Pro DVR 中的远程代码执行漏洞。该漏洞属于零日漏洞,尚未分配 CVE,且尚未发布修复程序。这一事实使得受害者的设备很容易成为黑客的目标
继续阅读某捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击
某捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击 独眼情报 2024-12-26 02:01 网络安全研究人员发现某捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示: “这些漏洞既影响 Reyee 平台,也影响 Reyee OS 网络设备。如果这些漏洞被利用,恶
继续阅读僵尸网络利用漏洞攻击网络录像机及TP-Link路由器
僵尸网络利用漏洞攻击网络录像机及TP-Link路由器 天唯科技 天唯信息安全 2024-12-26 01:56 据BleepingComputer消息,一个基于Mirai的新型僵尸网络正在积极利用DigiEver网络录像机中的一个远程代码执行漏洞,该漏洞尚未获得编号,也暂无修复补丁。 Akamai 研究人员观察到,该僵尸网络于 11 月中旬开始利用该漏洞,但证据表明该活动至少自 9 月以来就一直活
继续阅读勒索软件攻击中利用了关键的 Cleo 漏洞
勒索软件攻击中利用了关键的 Cleo 漏洞 天唯科技 天唯信息安全 2024-12-26 01:56 根据 CISA 最新发现,确定 Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个关键安全漏洞正在被勒索软件攻击所利用。 此漏洞编号为 CVE-2024-50623,影响 5.8.0.21 之前的所有版本,使未经身份验证的攻击者,能够在在线暴露的易受攻击的服务器上
继续阅读紧急预警!Apache Traffic Control 曝严重 SQL 注入漏洞,CVSS 评分 9.9,请立即更新!
紧急预警!Apache Traffic Control 曝严重 SQL 注入漏洞,CVSS 评分 9.9,请立即更新! 原创 Hankzheng 技术修道场 2024-12-26 01:37 【可导致任意 SQL 命令执行,影响 8.0.1 及以下版本,已发布修复补丁!】 近日,Apache 软件基金会(ASF)针对其 Apache Traffic Control 项目发布了紧急安全更新,修复了
继续阅读CVE-2024-49112 Windows 轻量级目录访问协议(LDAP)的远程代码执行漏洞
CVE-2024-49112 Windows 轻量级目录访问协议(LDAP)的远程代码执行漏洞 云梦DC 云梦安全 2024-12-26 01:00 漏洞背景 Windows LDAP 是一个重要的目录访问协议,广泛用于身份验证、目录管理和资源访问控制。该协议是许多企业网络的核心部分,因此其安全性对于保障整个网络的稳定和安全至关重要。 漏洞描述 CVE-2024-49112 是由于 LDAP 服务
继续阅读Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评分为 9.9
Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评分为 9.9 会杀毒的单反狗 军哥网络安全读报 2024-12-26 01:00 导读 Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞,如果成功利用该漏洞,攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024-4538
继续阅读