CVE-2024-0738漏洞挖掘过程学习
CVE-2024-0738漏洞挖掘过程学习 原创 fgz AI与网安 2024-01-22 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 应粉丝要求小编将往期poc和我在网上收集的一些poc打包分享到网盘了。同时分享了大量电子书和护网常用工具,在文末免费
继续阅读分类: vx
用友portal接口存在任意文件读取漏洞(新)-漏洞挖掘
用友portal接口存在任意文件读取漏洞(新)-漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2024-01-22 00:02 0x01 产品简介 ufida用友财务软件nc好会计,畅捷通旗下集成财务管理必备利器 畅捷通是用友集团的成员企业,致力于为企业提供专业高效的财务管理解决方案。这里 我推荐利用ZoomEye搜索引擎发现影响资产6000+ 。 声明**** 请自行搭建环境进行漏洞测
继续阅读知识星球 | 安在新榜· 2024企业网安CSO发展调查报告;新增资料:数安平台神兽方阵、网安漏洞态势、云计算安全等
知识星球 | 安在新榜· 2024企业网安CSO发展调查报告;新增资料:数安平台神兽方阵、网安漏洞态势、云计算安全等 原创 走狗是狗哥 安在 2024-01-21 19:34 诸子云,是由安在发起、组织并运营,以国内网安从业骨干为主体的纯民间社群组织。至今已有北上深等10余分会,认证会员超2000人。 诸子云知识星球,正是以诸子云社群打底,上千名甲方网安业者汇聚,持续输出网安相关话题精编、项目成果
继续阅读华夏ERP getAllList账号密码泄露-CVE-2024-0490
华夏ERP getAllList账号密码泄露-CVE-2024-0490 小白菜安全 小白菜安全 2024-01-21 18:25 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。
继续阅读新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 黑白之道 2024-01-21 17:23 新骗术,警惕! 网上订购了往返机票 出发后收到短信 需要改签 信以为真的市民 提供了银行账号、密码等信息 “改签”完了卡上的钱 就没了 一、骗术揭秘 “机票改签”诈骗常分三步走: 01 临行前一天收到“航班取消”短信 外省某地市民刘先生突然收到一条短信:“尊敬的某某旅客,您预定的某
继续阅读【赏金猎人】利用盲ssrf漏洞扫描内部端口
【赏金猎人】利用盲ssrf漏洞扫描内部端口 原创 Fighter 重生者安全 2024-01-21 14:31 这是一个hackerone的资产,target:https://test.com 这是一个内部盲ssrf漏洞,该bug 允许扫描https://test.com上的内部端口,服务器将对关闭的发出不同的响应。 废话少说~直接看操作 访问https://test.com,目标有个额搜索功能,
继续阅读CISA发布紧急指令:Ivanti产品零日漏洞
CISA发布紧急指令:Ivanti产品零日漏洞 THN 知机安全 2024-01-21 13:26 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday issued an emergency directive urging Federal Civilian Executive Branch (FC
继续阅读漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp)
漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp) Yi安全 2024-01-21 12:41 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处理。 传播、利用本
继续阅读从webpack开始发现的漏洞大礼包
从webpack开始发现的漏洞大礼包 aoteman 白帽子左一 2024-01-21 12:00 前言 信息收集贯穿渗透测试的全过程 webpack发现后台地址 日常SRC发现一个比较偏僻的域名,很有可能存在漏洞。git搜域名没找到源码。顺手翻了下js,发现webpack打包的源码,然后赶紧去搜了搜这个怎么利用,发现主要是用来找里面的接口,尝试未授权的思路。这个站点的webpack没有发现什么能
继续阅读重生第五篇之弱网环境下业务逻辑漏洞挖掘思路
重生第五篇之弱网环境下业务逻辑漏洞挖掘思路 零度安全攻防实验室 2024-01-21 11:07 COLD WINTER 点击上方 蓝字关注我们 本文章共分为两节,第一部分为弱网环境配置,第二部分为案例演示。 文章目录 1. 为什么要进行弱网测试 2. 常见弱网测试应用场景与测试要点 3. 弱网测试配置 3.1Windows + Android 3.1.1 测试工具简述 3.1.2 Charles
继续阅读SpringBlade export-user SQL 注入漏洞
SpringBlade export-user SQL 注入漏洞 原创 fgz AI与网安 2024-01-21 09:50 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SpringBlade export-user SQL 注入漏洞 02 —
继续阅读漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧!
漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧! 原创 有手不行 信安404 2024-01-21 09:03 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 版本介绍 版本:Acunetix-24.1.240111130-Wind
继续阅读Burpsuite 与 Chatgpt 联动,AI自动化漏洞分析
Burpsuite 与 Chatgpt 联动,AI自动化漏洞分析 原创 人遁安全 宇宙最强黑客八嘎酱 2024-01-21 08:48 也不知斗转星移,日夜几何。往日之人已不记得往日之事,曾经种种也只余雪泥鸿爪,暮雪残阳。兜兜转转几世轮回,恍惚之间却又回到那宏伟的殿堂,背持双戟的少年讷。。。。。===摘自小说评论 前言 📌 随着人工智能和自然语言处理技术的不断发展,AI & GPT(生成式
继续阅读.NET 分享ViewState反序列化漏洞个人总结
.NET 分享ViewState反序列化漏洞个人总结 原创 专攻.NET安全的 dotNet安全矩阵 2024-01-21 08:35 本期继续分享来自dotnet安全矩阵星球一位师傅的个人笔记总结。 01 .NET<=4.5+禁用Mac验证 .NET≤4.5 且没打补丁KB2905247 (ViewState Mac未开启) 同时满足, 实际测试就算小于4.0也是开启了mac验证的( 打
继续阅读2024最新AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器Windows/Linux下载
2024最新AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器Windows/Linux下载 原创 城北 渗透安全HackTwo 2024-01-21 08:35 前言 Acunetix Premium 是一种 Web 应用程序安全解决方案,用于管理多个网站、Web 应用程序和 API 的安全。集成功能允许您自动化 DevOps 和问题管理基础架构。 Acunetix P
继续阅读CVE-2023-46226 Apache iotdb远程代码执行漏洞
CVE-2023-46226 Apache iotdb远程代码执行漏洞 七彩安全研究院 WIN哥学安全 2024-01-20 22:19 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目地址 https://iotdb.apache.o
继续阅读叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP)
叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP) 冯宝宝 哪都通安全 2024-01-20 21:43 0x01 前言 Ncast盈可视高清智能录播系统 存在RCE漏洞 ,攻击者可以利用此漏洞执行任意命令 ,执行任意命令 ,通过该漏洞可以获取服务器权限 。 0x02 影响平台 Ncast 平台 0x03 漏洞复现 搜索语法 icon_hash="-1253433910
继续阅读【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告
【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-01-20 21:22 赛博昆仑漏洞安全通告- Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 漏洞描述 Confluence
继续阅读CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件
CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件 南风徐来 南风漏洞复现文库 2024-01-20 21:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公
继续阅读【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险
【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险 安全圈 2024-01-20 19:01 关键词 数据泄漏 不久前,安全公司Quarkslab揭示了一系列影响UEFI固件(负责启动操作系统的核心软件)的九个安全漏洞,这一组漏洞被合称为Pixie Fail。这些九个漏洞都存在于TianoCoreEFI开发套件II(EDK II)中,它们的利用可能导致远程代码执行、拒绝服务(D
继续阅读【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 安全圈 2024-01-20 19:01 关键词 安全漏洞 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞89个,影响到Oracle产品的其他厂商漏洞169个。包括Oracle Financial Services Applications 安全漏洞(CNNVD-202401-1551、CVE-202
继续阅读【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击
【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击 安全圈 2024-01-20 19:01 关键词 黑客攻击 在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛
继续阅读因 API 的错误配置导致 PII 泄漏漏洞
因 API 的错误配置导致 PII 泄漏漏洞 dandh811 薯条机器猫 2024-01-20 18:51 PII 指个人身份信息(Personally identifiable information) 假定被测目标为:example.com 1. 初步枚举 一旦找到一个我觉得有趣的子域名,dirsearch 就是我立即使用的工具——它是我最喜欢的目录暴力破解工具之一。它的速度非常快,并且使用
继续阅读如何拿抓取互联网上的0day???
如何拿抓取互联网上的0day??? 原创 ChinaRan404 知攻善防实验室 2024-01-20 15:28 关注本公众号,长期推送技术文章 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 前言 互联网上每天各种公众号都会发布一些漏
继续阅读[1day]泛微系统存在SQL注入漏洞
[1day]泛微系统存在SQL注入漏洞 CodeWarrior 晴天安全 2024-01-20 12:50 0x01 漏洞简述 — 泛微是一款全面的企业协同办公平台,提供了丰富的功能模块,包括流程管理、文档管理、协作办公、移动办公等。它可以帮助企业实现信息共享、团队协作和业务流程的数字化转型,提高工作效率和合作效能。泛微具有灵活的定制能力,可以根据企业的需求进行个性化配置和扩展,适用于各行各业的企
继续阅读【二次更新】Atlassian Confluence Data Center and Server存在远程代码执行漏洞
【二次更新】Atlassian Confluence Data Center and Server存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-01-20 12:02 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server存在远程代码执行漏洞(CVE-2023-22527) 安恒CERT评级 严重 CVSS3.1评分 10.0 C
继续阅读【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点
【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点 黑白之道 2024-01-20 09:48 目录 前言 案例一、某单位shiro绕WAF(利用shiro处理rememberMe字段值的feature) 案例二、某互联网厂商 Apisix绕阿里WAF拿下28个Rce 案例三、某开发商Nacos未授权访问读取配置信息到精准钓鱼进入内网 案例四、某国企-从一个任意文件读取到SSO沦陷
继续阅读统计路由器CVE,便于漏洞挖掘
统计路由器CVE,便于漏洞挖掘 黑白之道 2024-01-20 09:48 01 工具介绍 统计路由器CVE,便于漏洞挖掘 使用: python checker.py 在checker.py 中指定要统计的路由器 if __name__ == "__main__": banner() keywords = ["tenda","tp-link&quo
继续阅读Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年
Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年 军哥网络安全读报 2024-01-20 09:01 导读 至少自 2021 年底以来,一个某国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为 0day 漏洞攻击。 该漏洞已于去年 10 月得到修复,VMware本周三确认( https://www.bleepi
继续阅读GB-T 34946-2017 C#语言源代码漏洞测试规范
GB-T 34946-2017 C#语言源代码漏洞测试规范 原创 等保与关保 网络安全等保与关保 2024-01-20 09:00 点击上方蓝色“网络安全等保与关保”,关注公众号,回复“ 34946 ”或“ C#语言源代码漏洞测试规范 ” 获取该标准pdf版资料。 今日分享 标准规范 GB-T 34946-2017 C#语言源代码漏洞测试规范 标准封面 标准简介 C 语言是一种面向对象的、运行于.
继续阅读