ms017-010漏洞扫描及安全检查
ms017-010漏洞扫描及安全检查 原创 simeon的文章 小兵搞安全 2025-06-10 04:05 1.1ms017-010简介 MS17-010是微软于2017年3月发布的重要安全补丁,修复了SMBv1协议中一个严重远程代码执行漏洞,MS17-010被微软评为Critical(严重)级别。2017年4月,影子经纪人(Shadow Brokers)泄露的NSA武器库中包含该漏洞利用工具“
继续阅读作者: cve-20
最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备
最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备 白帽子左一 白帽子左一 2025-06-10 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 滥用已知的安全漏洞在易受攻击的系统上部署机器人是一种广为人知的问题。许多自动化机器人会持续扫描互联网上的服务器和设备,寻找已知漏洞,
继续阅读速修!Kafka Connect爆任意文件读取漏洞,无需授权
速修!Kafka Connect爆任意文件读取漏洞,无需授权 原创 微步情报局 微步在线研究响应中心 2025-06-10 02:20 漏洞概况 Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。 微步情报局通过X漏洞奖励计划获取到Apache Kafka Connect任意文件读取漏洞(https:/
继续阅读SRC 漏洞挖掘中的绕过 WAF 技巧
SRC 漏洞挖掘中的绕过 WAF 技巧 原创 GhostShell 乌雲安全 2025-06-10 01:51 在 SRC 漏洞挖掘中,WAF是挖掘者面临的一大障碍。WAF 能够检测和阻止常见的攻击请求,但挖掘者可通过特定技巧绕过它,下面介绍几种常见的绕过 WAF 技巧。 一、基于正则表达式的绕过 WAF 通常使用正则表达式来匹配和过滤恶意请求。挖掘者可通过修改 payload 的大小写、使用编码
继续阅读2025年5月企业必修安全漏洞清单
2025年5月企业必修安全漏洞清单 云鼎实验室 2025-06-10 01:34 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全
继续阅读信息安全漏洞月报(2025年5月)
信息安全漏洞月报(2025年5月) 原创 CNNVD CNNVD安全动态 2025-06-10 01:10 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2025年5月采集安全漏洞共3984个。 本月接报漏洞1238个,其中信息技术产品漏洞(通用型漏洞)1127个,网络信息系统漏洞(事件型漏洞)111个。漏洞平台推送漏洞35083个。 重大漏洞通报 Fortinet多款产
继续阅读卡巴斯基报告,APT组织针对独联体国家
卡巴斯基报告,APT组织针对独联体国家 会杀毒的单反狗 军哥网络安全读报 2025-06-10 01:01 导读 一个名为“Librarian Ghouls”的高级持续性威胁 (APT) 组织进行了一场网络攻击活动,该组织针对俄罗斯和独联体国家,以窃取敏感数据并在受害者系统部署门罗币挖矿木马。 卡巴斯基研究人员称,最初的感染媒介涉及针对性的网络钓鱼电子邮件,其中携带受密码保护的存档文件,其中包含可
继续阅读漏洞赏金工具 v1.0
漏洞赏金工具 v1.0 ctkqiang 菜鸟学信安 2025-06-10 00:30 工具介绍 漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。 功能演示 主界面 主要特性 美观的图形界面 支持多种主题切换(超级英雄风、赛博朋克、暗黑模式等) 实时日志输出展示 简洁直观的工具选择界面 集
继续阅读直播预告 | “银狐”拉群,为什么防不住?
直播预告 | “银狐”拉群,为什么防不住? 微步在线 2025-06-10 00:29 最近银狐拉群投毒实在太凶了 从几十人小群到近万人大群 让人感到心力交瘁 6月13日下午3:00 有一场 【 1 小时 】 的闭门直播 聊聊银狐的“防不住”和“怎么防” 报 名 通 道 银狐是一类特定木马吗?貌似不是 最多一天有 数百个 新变种 杀软 快马加鞭 也追不上它的脚步 是特定的黑产团伙吗?貌似也不是 至
继续阅读Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC
Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC 2025-6-9更新 南风漏洞复现文库 2025-06-09 15:39 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Dataease简介
继续阅读神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞
神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞 HK安全小屋 2025-06-09 15:05添加文章 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 神州数码DCN系统是一种网络交换机系统,具有高性能和可靠性。它采
继续阅读Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限
Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限 邑安科技 邑安全 2025-06-09 14:45 更多全球网络安全资讯尽在邑安全 影响 Dell PowerScale OneFS 存储作系统的两个重大安全漏洞,其中最严重的缺陷可能允许未经身份验证的攻击者获得对企业文件系统数据的完全未经授权的访问。 该严重漏洞被跟踪为 CVE-2024-53298,影响 Power
继续阅读探讨进程注入:CONTEXT-Only
探讨进程注入:CONTEXT-Only 原创 半只红队 半只红队 2025-06-09 14:22 在基本的远程进程注入中,EDR会监视这经典的三个迹象: – 给进程分配新的内存:VirtualAllocEx 修改此进程的内存:WriteProcessMemory、VirtualProtectEx 执行:CreateRemoteThread 在这篇文章中,我们依据这一篇文章(https
继续阅读G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞
G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞 Shangzhi Xu 安全研究GoSSIP 2025-06-09 14:11 “ 穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱 。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,
继续阅读赏金SRC 某开源社区存在水平越权漏洞
赏金SRC 某开源社区存在水平越权漏洞 原创 天启互联网工作室 天启互联网实验室 2025-06-09 13:44 用户A的ID:xxx625A 用户B的ID:xxx883A 点击头像的>功能点 查看个人信息功能点同时抓包的: 抓到数据包如下,看到customerCode参数为用户A的ID: 将数据包发送到重放器: 点击发送,可以看到用户A的个人信息,用户昵称、城市、省份、身份类型、客户编号
继续阅读分享Huntr上的几个大模型框架的漏洞
分享Huntr上的几个大模型框架的漏洞 原创 Shangzhi Xu SecNotes 2025-06-09 12:48 “ 穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱 。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,其次是确实是有足够高的严重性才能被接收。 很多CVE相
继续阅读记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读微软MSRC榜首赏金猎人带你来挖洞
微软MSRC榜首赏金猎人带你来挖洞 迪哥讲事 2025-06-09 12:05 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实
继续阅读Vite漏洞利用指南(文末附工具)
Vite漏洞利用指南(文末附工具) /root 励行安全 2025-06-09 12:03 漏洞利用方法汇总 1. CVE-2025-30208 (尾部分隔符绕过) 影响版本 : < 6.2.3, < 6.1.2, < 6.0.12, < 5.4.15, < 4.5.10 修复版本 : 6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10 利用原理
继续阅读2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展
2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展 360数字安全 2025-06-09 11:57 News Today 近日,由中国计算机学会主办,CCF计算机安全专业委员会、360数字安全集团和绿盟科技集团共同承办的“第十七届信息安全高级论坛暨2025 RSAC热点研讨会”在北京成功举办。本届论坛以“多元聚智·协同守护”为主题,汇聚政产学研企多方专家,围绕2025年RSA
继续阅读CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞
CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞 白帽子 2025-06-09 10:35 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:4617 阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负。 0x01 简介 FlowiseAI 是一款开源的低代码/无代码工具,用于快速构建基于大语言模
继续阅读APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-06-09 10:17 APT-C-56 透明部落 APT-C-56(#透明部落 )(即Transparent Tribe),又称APT36、ProjectM或C-Major,是一家源自南亚的高级持续性威胁(APT)组织。该组织的主要攻击区域集中于印度及其周边国家
继续阅读每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施
每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施 交大捷普 2025-06-09 10:10 2025[ 每周网安资讯 ]6.4-6.9 网安资讯 1、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》 为进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗
继续阅读精品产品系列 | 捷普漏洞扫描系统
精品产品系列 | 捷普漏洞扫描系统 交大捷普 2025-06-09 10:10 —捷普2025精品产品系列— 捷普漏洞扫描系统 核心优势 01 丰富的漏洞库资源 捷普漏洞扫描系统(NVAS)的漏洞知识库量级为300000+条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNN
继续阅读工具集:Sinject 【DLL+Shellcode的Windows注入免杀工具】
工具集:Sinject 【DLL+Shellcode的Windows注入免杀工具】 风铃Sec 2025-06-09 09:56 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】 0x01 工具介绍 只是罗列各种方法,免杀推荐搭配其他技巧,要具体灵活使用! 工具支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具,支持图形化界面;
继续阅读DataEase 远程代码执行漏洞分析
DataEase 远程代码执行漏洞分析 重生之成为赛博女保安 2025-06-09 09:55 漏洞描述 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 漏洞影响版本: DataEase < 2.10.10 漏洞详情: 在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC
继续阅读价值 1,250 美刀 的主机标头注入
价值 1,250 美刀 的主机标头注入 原创 红云谈安全 红云谈安全 2025-06-09 09:55 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢!请在授权的站点测试,遵守网络安全法! 仅供 学习使用,如若非法他用,
继续阅读雷神众测漏洞周报2025.6.3-2025.6.8
雷神众测漏洞周报2025.6.3-2025.6.8 原创 雷神众测 雷神众测 2025-06-09 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读上周关注度较高的产品安全漏洞(20250602-20250608)
上周关注度较高的产品安全漏洞(20250602-20250608) 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 一、境外厂商产品漏洞 1、Google Chrome越界读写漏洞 Google Chrome是由谷歌公司开发的网页浏览器。Google Chrome存在越界读写漏洞,该漏洞源于V8引擎中的越界读写问题,攻击者可利用漏洞通过恶意网页触发漏洞,绕过沙箱防护实现远程代码
继续阅读CNVD漏洞周报2025年第21期
CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读