奖金翻倍| 2024补天通用型漏洞专项活动第一期上线!
奖金翻倍| 2024补天通用型漏洞专项活动第一期上线! 补天平台 2024-03-12 14:13 通用专项活动第一期 ◆ 2 0 2 4 年3 月12 日14 点 起 至03 月26 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 0 1 活动奖励 A+计划 收录范围说明 收录范围请见公告:https://www.butian.net/Article/content/id/661 属
继续阅读分类: vx
补天平台助力|龙年首场「漏洞攻防安全」第13期安全范儿沙龙开启!
补天平台助力|龙年首场「漏洞攻防安全」第13期安全范儿沙龙开启! 安全范儿技术沙龙 补天平台 2024-03-12 14:13 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无
继续阅读记一次犯罪链条中的URL跳转的挖掘-漏洞挖掘
记一次犯罪链条中的URL跳转的挖掘-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-03-12 00:02 0x01 前言 2023年 12 月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。 经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。 末尾可领取字典等资源文件 0x02 漏洞分析 利用钓鱼链接,让被
继续阅读JetBrains TeamCity权限绕过(CVE-2024-27198)分析与利用
JetBrains TeamCity权限绕过(CVE-2024-27198)分析与利用 原创 W01fh4cker 追梦信安 2024-03-12 00:01 一、环境搭建 单纯的验证的话,使用docker就可以了: sudo docker pull jetbrains/teamcity-server:2023.11.3 sudo docker run -it -d –name teamcity
继续阅读ThinkPHP5.x远程命令执行(getshell)测试工具
ThinkPHP5.x远程命令执行(getshell)测试工具 xs6sx Web安全工具库 2024-03-11 23:12 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读附下载 | 高价值漏洞采集与推送工具
附下载 | 高价值漏洞采集与推送工具 原创 网络安全自修室 网络安全自修室 2024-03-11 22:05 点击上方 蓝字关注我们 1 免责声明 本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究, 谨 遵守国家相关法律法规,请勿用于违法用途, 如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。 2 内容
继续阅读【漏洞预警】Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)
【漏洞预警】Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762) cexlife 飓风网络安全 2024-03-11 21:47 漏洞描述: FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。For
继续阅读OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞
OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞 原创 网络安全菜鸟 安全孺子牛 2024-03-11 21:00 1.漏洞简介 漏洞详情: 此漏洞是由于OpenSSH中的ProxyCommand命令未对%h、%p或类似的扩展标记进行正确的过滤,攻击者可通过这些值注入恶意shell字符进行命令注入攻击。 影响范围: OpenSSH<9.6 官方补丁: 目前官方已修复该漏洞
继续阅读一篇文章说清楚Shiro-550漏洞
一篇文章说清楚Shiro-550漏洞 0xNvyao 安全随笔 2024-03-11 20:30 篇幅有点长了……不过不管是想看漏洞复现的还是代码调试,看这一篇就可以了。 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Shiro-550指的是Apache Shiro 1.2.4反序列化漏洞,漏洞编号:CVE-
继续阅读lineCTF-22Gotom复现含docker环境
lineCTF-22Gotom复现含docker环境 原创 Zacarx Zacarx随笔 2024-03-11 19:23 这个月今年陆陆续续学了挺多go的语法 于是找了一道不算很难的题目来看看 于是我在github找到了这个题 由于是国外的go题,国内docker拉取有一些问题 下面是我改进的: gotom.zip 解压直接运行run.sh即可一键启动 有任何问题可以直接公众号给我发消息或者
继续阅读【安全圈】一天就完成!Magnet Goblin Hacker Group 利用漏洞成功部署 Nerbian RAT
【安全圈】一天就完成!Magnet Goblin Hacker Group 利用漏洞成功部署 Nerbian RAT 安全圈 2024-03-11 19:02 关键词 安全漏洞 一个名为 Magnet Goblin 的出于经济动机的威胁行为者正在迅速将一天安全漏洞纳入其武器库,以便投机取巧地破坏边缘设备和面向公众的服务,并在受感染的主机上部署恶意软件。 Check Point说:“威胁行为者组织M
继续阅读干货 | Redis的漏洞总结(建议收藏)
干货 | Redis的漏洞总结(建议收藏) 自然嗨 渗透安全团队 2024-03-11 18:46 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 01 漏洞探测 redis默认情况是空密码连接而且如果是root权限的话,会造成很大的危害。 Namp nmap
继续阅读龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启
龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启 原创 安全范儿技术沙龙 字节跳动安全中心 2024-03-11 18:07 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无
继续阅读可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞
可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞 看雪学苑 看雪学苑 2024-03-11 18:00 3月9日,知名网络附加存储(NAS)设备制造商威联通(QNAP)发布了一则安全公告,披露其NAS产品(如QTS、QuTS hero、QuTScloud和myQNAPcloud)中存在三个漏洞,攻击者能够利用这些漏洞通过网络来破坏系统安全或执行恶意代码。 漏洞详情如下: CVE-2024-2
继续阅读QNAP提醒注意NAS设备中严重的认证绕过漏洞
QNAP提醒注意NAS设备中严重的认证绕过漏洞 Bill Toulas 代码卫士 2024-03-11 17:54 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 中存在多个漏洞,可导致攻击者访问设备。 QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类
继续阅读美CISA因漏洞攻击紧急关闭2个业务系统,此前就此多次发布预警
美CISA因漏洞攻击紧急关闭2个业务系统,此前就此多次发布预警 安全内参 2024-03-11 17:52 关注我们 带你读懂网络安全 据《Recorded Future News》报道,美国国家网络安全与基础设施安全局(CISA)日前遭到黑客攻击,黑客利用了Ivanti产品的安全缺陷侵入了该机构的网络系统,并导致CISA不得不紧急关闭两个关键的业务系统。 据CISA发言人介绍,已有专业的事件响应
继续阅读雷神众测漏洞周报2024.3.04-2024.3.10
雷神众测漏洞周报2024.3.04-2024.3.10 原创 雷神众测 雷神众测 2024-03-11 16:08 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读Tesla Model 3新漏洞:一部智能手机即可把车开走
Tesla Model 3新漏洞:一部智能手机即可把车开走 安全客 2024-03-11 12:04 该漏洞影响全球超过 100 万辆特斯拉 Model 3 车辆。 安全研究人员 Talal Haj Bakri 和 Tommy Misk 演示了 如何进行网络钓鱼攻击,以危害Tesla车主的帐户、解锁汽车并启动发动机。值得注意的是,此次攻击与特斯拉应用程序最新版本4.30.6和汽车固件版本11.1
继续阅读CVE-2024-0188
CVE-2024-0188 原创 fgz AI与网安 2024-03-11 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 RRJ Nueva Ecija 工程师在线门户change_password_teacher.php 弱密码 漏
继续阅读CVE-2024-2330漏洞复现(POC)
CVE-2024-2330漏洞复现(POC) 原创 fgz AI与网安 2024-03-11 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 网康NS-ASG应用安全网关index.php sql注入 漏洞 02 — 漏洞影响 Nete
继续阅读一次证书站逻辑漏洞挖掘
一次证书站逻辑漏洞挖掘 原创 PWN师傅 PwnPigPig 2024-03-11 01:03 点击「蓝色」字体关注我们! 北京大学某站存在修改任意账号密码重置逻辑漏洞漏洞URL地址:http://..edu.cn/?page=login 测试账号1:1355700*测试密码1:My测试账号2:1985854测试密码2:My* 点击页面的请点击此处重置 寻找漏洞过程:填入测试账号1,姓名和对应的邮
继续阅读Vscan二次开发的版本开源、轻量、快速、跨平台的网站漏洞扫描工具|漏洞探测
Vscan二次开发的版本开源、轻量、快速、跨平台的网站漏洞扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-03-11 00:00 0x01 工具介绍 基于veo师傅的漏扫工具vscan二次开发的版本,开源、轻量、快速、跨平台 的网站漏洞扫描工具,帮助您快速检测网站安全隐患。功能 端口扫描(port scan) 指纹识别(fingerprint) 漏洞检测(nday check)
继续阅读【活动】京东健康逻辑漏洞挑战赛即将上线!
【活动】京东健康逻辑漏洞挑战赛即将上线! 京东安全应急响应中心 2024-03-10 22:27
继续阅读论当今白帽子到底有多法盲之倒卖漏洞牟利
论当今白帽子到底有多法盲之倒卖漏洞牟利 黑家小无常 诚殷网络 2024-03-10 21:51 15岁入行,到如今27岁,依旧每天都在不断的努力学习网络安全,在学习的途中逐渐补充空白的法律盲区,网络安全行业本身就处于黑白之间,用的好就是一把利剑,用的不好那就危害国家,危害自身。今天我们就来讨论讨论 “一群拥有高学历,高技术的 “白帽子”,到底有多法盲?” 只需要1000元,
继续阅读redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!)
redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!) admin 猎洞时刻 2024-03-10 20:03 点击上方蓝字关注我们 redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!) 一、漏洞详情 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在
继续阅读【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用
【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用 安全圈 2024-03-10 19:00 关键词 安全漏洞 美国网络安全机构CISA周二将影响Pixel手机和Sunhillo软件的漏洞添加到其已知利用漏洞(KEV)目录中。 被利用的 Pixel 漏洞被跟踪为 CVE-2023-21237。谷歌在 2023 年 6 月修补该漏洞时警告说,它已经意识到“有限的、有针对性的漏
继续阅读CVE-2021-32760漏洞分析与复现
CVE-2021-32760漏洞分析与复现 wx_游由 看雪学苑 2024-03-10 17:59 本文仅用于学习研究为目的,禁止用于任何非法目的,否则后果自负。 近日Containerd公布了一个安全漏洞,攻击者通过构造一个恶意镜像,能够在普通用户进行pull和提取镜像时,修改用户宿主机上现存文件的文件权限。该漏洞不能直接读取,写入或者执行用户的文件。 CVE-2021-32760漏洞被评估为
继续阅读.NET 反序列化Xunit1Executor漏洞分析
.NET 反序列化Xunit1Executor漏洞分析 专攻.NET安全的 dotNet安全矩阵 2024-03-10 09:21 01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET 平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework 、 .Net Core 、 .Net Standard 、 UWP 、 Xamarin
继续阅读CVE-2024-27199(POC&EXP)
CVE-2024-27199(POC&EXP) 原创 fgz AI与网安 2024-03-10 06:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 TeamCity 权限绕过漏洞 02 — 漏洞影响 JetBrains TeamCi
继续阅读Spring漏洞利用工具 — Scan-Spring-GO(3月7日)
Spring漏洞利用工具 — Scan-Spring-GO(3月7日) sspsec 网络安全者 2024-03-10 00:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读