Jenkins 中发布安全公告,修复多个安全漏洞
Jenkins 中发布安全公告,修复多个安全漏洞 独眼情报 2024-10-04 09:58 Jenkins 项目发布了安全公告,敦促用户立即更新其安装,因为发现了多个漏洞。这些漏洞可能允许攻击者窃取敏感数据、绕过安全限制,甚至完全控制 Jenkins 服务器。 最严重的漏洞包括: – CVE-2024-47803: 此漏洞通过错误消息泄露多行机密信息,例如 API 密钥和密码。这些信
继续阅读作者: cve-20
如何使用大型语言模型(LLMs)自动检测BOLA漏洞
如何使用大型语言模型(LLMs)自动检测BOLA漏洞 FreddyLu666 FreeBuf 2024-10-04 09:30 本文介绍了对一种名为 BOLABuster 的方法所进行的研究,该方法使用大型语言模型 (LLM) 来检测对象级授权损坏(BOLA)漏洞。通过大规模自动化 BOLA 检测,我们将在识别开源项目中的这些漏洞方面取得令人鼓舞的结果。 BOLA 是现代 API 和 Web 应用
继续阅读14个新漏洞使超过70万台台湾产 DrayTek 路由器面临黑客攻击
14个新漏洞使超过70万台台湾产 DrayTek 路由器面临黑客攻击 会杀毒的单反狗 军哥网络安全读报 2024-10-04 09:01 导读 Forescout Technologies 在中国台湾网络设备制造商 DrayTek 生产的路由器中发现了 14 个漏洞,其中包括可导致远程黑客攻击的严重漏洞。 这 14 个漏洞被统称为DRAY:BREAK,影响了 24 个 DrayTek Vigor
继续阅读研究人员披露微软 Office 漏洞(CVE-2024-38200) 技术细节,发布PoC代码
研究人员披露微软 Office 漏洞(CVE-2024-38200) 技术细节,发布PoC代码 会杀毒的单反狗 军哥网络安全读报 2024-10-04 09:01 导读 安全研究人员发布了针对最近披露的 Microsoft Office 漏洞CVE-2024-38200的概念验证 (PoC) 代码,该漏洞可能允许攻击者捕获用户的 NTLMv2 哈希值。 此高严重性漏洞影响 Microsoft Of
继续阅读.NET 回顾 | 一款反序列化漏洞的白名单工具
.NET 回顾 | 一款反序列化漏洞的白名单工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-04 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学
继续阅读通过报错实现的一次五千漏洞赏金记录
通过报错实现的一次五千漏洞赏金记录 迪哥讲事 2024-10-03 23:10 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organization 状态码返回
继续阅读【漏洞复现】pgAdmin4 敏感信息泄露漏洞(CVE-2024-9014)
【漏洞复现】pgAdmin4 敏感信息泄露漏洞(CVE-2024-9014) 紫色皓月 皓月的笔记本 2024-10-03 18:00 声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。 0X01 简介 pgAdmin4 是 PostgreSQL 的官方图形界面管理工具,为数据库管理员、开发者和分析师提供了一个直观的界面,以便于管理和维护 PostgreSQL
继续阅读某返佣理财商城系统存在前台任意文件读取漏洞
某返佣理财商城系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-10-03 12:11 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **这完美运行的返佣商城、分销商城和理财商城开源代码,拥有详细的教程和Vue代码脚本。进行了测试,前台和后台的显示都非常正常,没有出现任何问题。 Fofa指纹:”css/chunk-vendors.5802e0af.css
继续阅读Src漏洞挖掘-一个严重漏洞
Src漏洞挖掘-一个严重漏洞 迪哥讲事 2024-10-02 23:24 No.0 前言 挖洞就是要多思考,我是爱思考的张三,给大家分享一个严重漏洞的挖掘思路。 ,我是 No.2 实战过程 1、A站点重置密码处需要提供账号即学号,以及姓名,接下来需要信息收集到姓名,学号,以及后面会用到的手机号。 2、主站SSO重置密码输入工号即学号,通过信息收集到证书站学号 语法,site:xxx.edu.cn
继续阅读【安全圈】ChatGPT 曝严重漏洞,聊天记录黑客随意看,网友:本地运行也没用
【安全圈】ChatGPT 曝严重漏洞,聊天记录黑客随意看,网友:本地运行也没用 安全圈 2024-10-02 19:01 关键词 ChatGPT ChatGPT长期记忆功能出现严重漏洞! 黑客利用漏洞,一能给 AI 植入虚假记忆,在后续回答中出现误导信息。二能植入恶意指令,持续获取用户聊天数据。 聊点啥都会被看光光。 更可怕的是,即使开始新的对话,它仍阴魂不散,持续窃取数据。 而当你直接问 Cha
继续阅读「漏洞复现」百易云资产管理运营系统 ticket.edit.php SQL注入漏洞
「漏洞复现」百易云资产管理运营系统 ticket.edit.php SQL注入漏洞 冷漠安全 冷漠安全 2024-10-02 18:54 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读某微商代理商补货商城系统RCE漏洞审计
某微商代理商补货商城系统RCE漏洞审计 原创 Mstir 星悦安全 2024-10-02 16:30 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **这个源码是一款微商分销代理商城源码,可以自己设置代理等级和升级条件(如购买指定商品、消费额度),“微商城+小程序+三级分销+拼团秒杀+多商户开店+O2O门店”通过社交关系分销裂变,把粉丝变成客户,让分销商发展下线,打造新型社交分销模式,实现
继续阅读【海外SRC赏金挖掘】Microsoft微软高危漏洞 403ByPass (二)– 协议降级实现403绕过
【海外SRC赏金挖掘】Microsoft微软高危漏洞 403ByPass (二)– 协议降级实现403绕过 原创 abbas_heybati fkalis 2024-10-02 16:09 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又
继续阅读【漏洞复现】FastAdmin 任意文件读取漏洞(CVE-2024-7928)
【漏洞复现】FastAdmin 任意文件读取漏洞(CVE-2024-7928) 紫色皓月 皓月的笔记本 2024-10-02 16:00 声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。 0X01 简介 FastAdmin基于ThinkPHP强大的命令行功能扩展了一系列命令行功能,可以很方便的一键生成CRUD、生成权限菜单、压缩打包CSS和JS、启用禁用插件等
继续阅读漏洞挖掘 | 强制 SSO 会话固定
漏洞挖掘 | 强制 SSO 会话固定 原创 白帽子左一 白帽子左一 2024-10-02 12:00 扫码领资料 获网安教程 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在最近的一个项目中,我遇到了一个有趣的小问题,该问题允许通过固定会话标识符并强制受害者的浏览器启动单点登录 (SSO) 流程的第一步来实现一键式帐户接管。由于缺乏反 CSRF 令
继续阅读安卓0day风险预警
安卓0day风险预警 独眼情报 2024-10-02 10:25 一名威胁者声称正在出售一种针对 Android 设备的强大零日漏洞,据称该漏洞能够通过 MMS 进行远程代码执行 (RCE)。据该威胁者称,该漏洞是一种零点击 攻击,这意味着攻击者无需用户交互即可控制设备。 据称,该漏洞影响 Android 11、12、13 版本 以及最近发布的 Android 14版本,因此无论品牌或型号如何,它
继续阅读一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE漏洞利用工具
一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE漏洞利用工具 黑白之道 2024-10-02 10:07 01 工具介绍 一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE的漏洞利用工具 程序采用C#开发,首次使用请安装依赖:NET6.0 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律
继续阅读抓获4人!五马公安打掉一侵犯公民个人信息犯罪团伙;|英伟达高危漏洞威胁全球数百万AI应用
抓获4人!五马公安打掉一侵犯公民个人信息犯罪团伙;|英伟达高危漏洞威胁全球数百万AI应用 黑白之道 2024-10-02 10:07 抓获4人!五马公安打掉一侵犯公民个人信息犯罪团伙 这是不少人在接到各类骚扰和诈骗电话后的最大疑惑。 这是因为不法分子出售了我们的个人信息!!! 近年来,随着电话、网络实名制等规定的相继出台,实名手机卡、网络平台账号逐渐成为不法分子手中的稀缺资源。在高额利润的诱惑下,
继续阅读CUPS 漏洞能使攻击者对Linux电脑远程执行任意代码
CUPS 漏洞能使攻击者对Linux电脑远程执行任意代码 Zicheng FreeBuf 2024-10-02 09:31 据BleepingComputer消息, Linux 系统中广泛使用的打印系统CUPS(Common UNIX Printing System)存在漏洞,能在受攻击的电脑上远程执行任意代码。 目前该漏洞尚未有修复补丁。 这些安全漏洞由 Simone Margaritelli
继续阅读安服水洞系列 | Tomcat堆栈跟踪启用漏洞
安服水洞系列 | Tomcat堆栈跟踪启用漏洞 原创 进击的HACK 进击的HACK 2024-10-02 09:20 国庆放假水一篇,说到水,那就不得不提安服水洞系列,也是久违的更新了。 Tomcat堆栈跟踪启用漏洞,听上去高大上,其实非常简单,一看就会。下面是案例。 声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!
继续阅读插件化指纹 POC 扫描插件
插件化指纹 POC 扫描插件 原创 白帽学子 白帽学子 2024-10-02 08:11 作为技术人员,我总是希望能在有限的时间内尽可能发现潜在的漏洞和弱点。最近用了 FrameScan 插件。它是一款非常实用的指纹 POC 扫描工具,可以与 Burpsuit 结合使用。这个工具的好处在于,它可以自动化地进行漏洞探测,让我们在应对复杂的网络环境时,不至于手忙脚乱。 在执行 hvv 的任务时,往往会
继续阅读【安全圈】起亚修复高危漏洞:影响数百万车辆,攻击者几秒内可定位、开车门、启动引擎
【安全圈】起亚修复高危漏洞:影响数百万车辆,攻击者几秒内可定位、开车门、启动引擎 安全圈 2024-10-01 19:01 关键词 恶意软件 科技媒体 arstechnica (9 月 27 日)发布博文,报道称起亚官网存在安全漏洞,攻击者可以利用该漏洞掌控大多数具备互联网连接功能汽车,在几秒内实现包括定位追踪、解锁打开车门、按响喇叭或者启动引擎等操作。 绰号 specters 的网络安全专家 N
继续阅读通过代理实现代码执行——DLL 劫持的另一种方式
通过代理实现代码执行——DLL 劫持的另一种方式 Ots安全 2024-10-01 17:44 在不断发展的网络安全领域,攻击者不断设计新方法来利用端点中的漏洞来执行恶意代码。最近越来越流行的一种方法是 DLL 劫持。虽然 DLL 劫持攻击可以采取多种不同的形式,但这篇博文将探讨一种称为 DLL 代理的特定类型的攻击,深入了解其工作原理、它带来的潜在风险,并简要介绍发现这些易受攻击的 DLL 的方
继续阅读「冷漠安全」九月份0day/1day/nday漏洞汇总
「冷漠安全」九月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-10-01 17:27 0x01 免责声明 免责声明 请 勿 利 用 文 章 内 的 相 关 技 术 从 事 非 法 测 试 , 由 于 传 播 、 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 作 者
继续阅读美国各地的法院和政府使用的系统漏洞百出
美国各地的法院和政府使用的系统漏洞百出 原创 hackerson 黑客联盟l 2024-10-01 15:32 法院和政府依赖的公共记录系统存在严重漏洞,使攻击者有可能伪造注册数据库,并添加、删除或修改官方文件。 在过去的一年里,软件开发人员转身为安全研究人员的 Jason Parker 发现并报告了至少 19 个商业平台中的数十个严重漏洞,这些平台在全国范围内被数百家法院、政府机构和警察部门使用
继续阅读漏洞挖掘 | 招聘平台验证码爆破+短信轰炸
漏洞挖掘 | 招聘平台验证码爆破+短信轰炸 原创 zkaq-wangshaoyu 掌控安全EDU 2024-10-01 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – wangshaoyu 投稿 学校发了人才招聘的链接,寻思进去看看,发现注册页面只需要手机号和验证码 正常发送验证码,将发送验证码的包发送到repeter模块,发现没有对服务端发送验证码次数和时间间隔进行限制
继续阅读第105篇:方程式工具包图形界面版V0.42,更新永恒浪漫exp对Vista、Win7系统的利用
第105篇:方程式工具包图形界面版V0.42,更新永恒浪漫exp对Vista、Win7系统的利用 原创 abc123info 希潭实验室 2024-09-30 22:39 Part1 前言 大家好,我是ABC_123 。本期继续为大家分享我在2018年左右开始编写的,方程式工具包中各种Windows远程溢出漏洞的图形界面版。此次更新基于对美国NSA原版的方程式工具包命令行参数的新发现,优化多个参数
继续阅读【漏洞预警】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
【漏洞预警】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323) cexlife 飓风网络安全 2024-09-30 21:58 漏洞描述: Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能,Apach
继续阅读PHP中存在多个漏洞,速修复
PHP中存在多个漏洞,速修复 DO SON 代码卫士 2024-09-30 17:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,PHP 项目发布安全公告,修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。 主要漏洞及其影响 CVE-2024-9026是位于PHP-FPM 中的日
继续阅读安全热点周报:严重的 Ivanti vTM 身份认证绕过漏洞现已被攻击利用
安全热点周报:严重的 Ivanti vTM 身份认证绕过漏洞现已被攻击利用 奇安信 CERT 2024-09-30 17:00 安全资讯导视 • 《工业和信息化领域数据安全合规指引》公开征求意见 • 国家安全部发文披露“台独”网军“匿名者64” • 英国主要火车站紧急关停公共WiFi:因被黑后传播恐怖主义信息 PART01 漏洞情报 1.cups-browsed远程代码执行漏洞安全风险通告 9月
继续阅读