关注|第四期移动互联网APP产品安全漏洞技术沙龙在京成功举办
关注|第四期移动互联网APP产品安全漏洞技术沙龙在京成功举办 中国信息安全 2024-01-23 18:04 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 1月16日,在工业和信息化部网络安全管理局和北京市通信管理局指导,北京市通信与互联网协会支持下,中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部移动互联网App产品安全漏洞专业库成功
继续阅读月度归档: 2024 年 1 月
本周更新:命令/代码执行(一)原理和基础知识 | CTF训练营之Web篇
本周更新:命令/代码执行(一)原理和基础知识 | CTF训练营之Web篇 看雪课程 看雪学苑 2024-01-23 18:03 本周更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方
继续阅读[1day]用友NC某接口存在任意文件下载漏洞
[1day]用友NC某接口存在任意文件下载漏洞 CodeWarrior 晴天安全 2024-01-23 17:50 0x01 漏洞简述 — 用友NC是一款成熟的企业级ERP软件,提供全面的财务、人力资源、采购、销售等多个模块,实现业务流程的数字化管理和资源协同。它具备高度定制化能力,适应不同企业的需求,并支持移动办公,提高工作效率。用友NC拥有丰富的功能和可靠的性能,帮助企业实现信息共享、业务流程
继续阅读揭秘LIVE勒索软件利用IP-Guard漏洞的技战术
揭秘LIVE勒索软件利用IP-Guard漏洞的技战术 原创 威胁情报中心 奇安信威胁情报中心 2024-01-23 17:45 概述 奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商,工作时间主要在周末,可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵,全天无休的进行内网信息收集,控制机器数量评估,并在周日晚上控制木马批量投递勒索软件,为了给第二天要上班的受害者一个“惊
继续阅读Apple WebKit 代码执行漏洞(CVE-2024-23222)安全风险通告
Apple WebKit 代码执行漏洞(CVE-2024-23222)安全风险通告 奇安信 CERT 2024-01-23 17:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple WebKit 代码执行漏洞 漏洞编号 QVD-2024-3418,CVE-2024-23222 公开时间 2024-01-22 影响量级 千万级 奇安信评级 高危 CVSS 3.1分数
继续阅读漏洞通告|亿赛通 新一代电子文档安全管理系统 远程代码执行漏洞
漏洞通告|亿赛通 新一代电子文档安全管理系统 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-01-23 15:58 01 漏洞概况**** 亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。微步漏洞团队通过“X 漏洞奖励计划”获取到亿赛通新一代电子文档安全管理系统远程代
继续阅读CVE-2024-0738漏洞挖掘过程学习
CVE-2024-0738漏洞挖掘过程学习 原创 fgz AI与网安 2024-01-22 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 应粉丝要求小编将往期poc和我在网上收集的一些poc打包分享到网盘了。同时分享了大量电子书和护网常用工具,在文末免费
继续阅读用友portal接口存在任意文件读取漏洞(新)-漏洞挖掘
用友portal接口存在任意文件读取漏洞(新)-漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2024-01-22 00:02 0x01 产品简介 ufida用友财务软件nc好会计,畅捷通旗下集成财务管理必备利器 畅捷通是用友集团的成员企业,致力于为企业提供专业高效的财务管理解决方案。这里 我推荐利用ZoomEye搜索引擎发现影响资产6000+ 。 声明**** 请自行搭建环境进行漏洞测
继续阅读知识星球 | 安在新榜· 2024企业网安CSO发展调查报告;新增资料:数安平台神兽方阵、网安漏洞态势、云计算安全等
知识星球 | 安在新榜· 2024企业网安CSO发展调查报告;新增资料:数安平台神兽方阵、网安漏洞态势、云计算安全等 原创 走狗是狗哥 安在 2024-01-21 19:34 诸子云,是由安在发起、组织并运营,以国内网安从业骨干为主体的纯民间社群组织。至今已有北上深等10余分会,认证会员超2000人。 诸子云知识星球,正是以诸子云社群打底,上千名甲方网安业者汇聚,持续输出网安相关话题精编、项目成果
继续阅读华夏ERP getAllList账号密码泄露-CVE-2024-0490
华夏ERP getAllList账号密码泄露-CVE-2024-0490 小白菜安全 小白菜安全 2024-01-21 18:25 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。
继续阅读新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 黑白之道 2024-01-21 17:23 新骗术,警惕! 网上订购了往返机票 出发后收到短信 需要改签 信以为真的市民 提供了银行账号、密码等信息 “改签”完了卡上的钱 就没了 一、骗术揭秘 “机票改签”诈骗常分三步走: 01 临行前一天收到“航班取消”短信 外省某地市民刘先生突然收到一条短信:“尊敬的某某旅客,您预定的某
继续阅读【赏金猎人】利用盲ssrf漏洞扫描内部端口
【赏金猎人】利用盲ssrf漏洞扫描内部端口 原创 Fighter 重生者安全 2024-01-21 14:31 这是一个hackerone的资产,target:https://test.com 这是一个内部盲ssrf漏洞,该bug 允许扫描https://test.com上的内部端口,服务器将对关闭的发出不同的响应。 废话少说~直接看操作 访问https://test.com,目标有个额搜索功能,
继续阅读CISA发布紧急指令:Ivanti产品零日漏洞
CISA发布紧急指令:Ivanti产品零日漏洞 THN 知机安全 2024-01-21 13:26 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday issued an emergency directive urging Federal Civilian Executive Branch (FC
继续阅读漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp)
漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp) Yi安全 2024-01-21 12:41 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处理。 传播、利用本
继续阅读从webpack开始发现的漏洞大礼包
从webpack开始发现的漏洞大礼包 aoteman 白帽子左一 2024-01-21 12:00 前言 信息收集贯穿渗透测试的全过程 webpack发现后台地址 日常SRC发现一个比较偏僻的域名,很有可能存在漏洞。git搜域名没找到源码。顺手翻了下js,发现webpack打包的源码,然后赶紧去搜了搜这个怎么利用,发现主要是用来找里面的接口,尝试未授权的思路。这个站点的webpack没有发现什么能
继续阅读重生第五篇之弱网环境下业务逻辑漏洞挖掘思路
重生第五篇之弱网环境下业务逻辑漏洞挖掘思路 零度安全攻防实验室 2024-01-21 11:07 COLD WINTER 点击上方 蓝字关注我们 本文章共分为两节,第一部分为弱网环境配置,第二部分为案例演示。 文章目录 1. 为什么要进行弱网测试 2. 常见弱网测试应用场景与测试要点 3. 弱网测试配置 3.1Windows + Android 3.1.1 测试工具简述 3.1.2 Charles
继续阅读SpringBlade export-user SQL 注入漏洞
SpringBlade export-user SQL 注入漏洞 原创 fgz AI与网安 2024-01-21 09:50 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SpringBlade export-user SQL 注入漏洞 02 —
继续阅读漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧!
漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧! 原创 有手不行 信安404 2024-01-21 09:03 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 版本介绍 版本:Acunetix-24.1.240111130-Wind
继续阅读Burpsuite 与 Chatgpt 联动,AI自动化漏洞分析
Burpsuite 与 Chatgpt 联动,AI自动化漏洞分析 原创 人遁安全 宇宙最强黑客八嘎酱 2024-01-21 08:48 也不知斗转星移,日夜几何。往日之人已不记得往日之事,曾经种种也只余雪泥鸿爪,暮雪残阳。兜兜转转几世轮回,恍惚之间却又回到那宏伟的殿堂,背持双戟的少年讷。。。。。===摘自小说评论 前言 📌 随着人工智能和自然语言处理技术的不断发展,AI & GPT(生成式
继续阅读2024最新AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器Windows/Linux下载
2024最新AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器Windows/Linux下载 原创 城北 渗透安全HackTwo 2024-01-21 08:35 前言 Acunetix Premium 是一种 Web 应用程序安全解决方案,用于管理多个网站、Web 应用程序和 API 的安全。集成功能允许您自动化 DevOps 和问题管理基础架构。 Acunetix P
继续阅读.NET 分享ViewState反序列化漏洞个人总结
.NET 分享ViewState反序列化漏洞个人总结 原创 专攻.NET安全的 dotNet安全矩阵 2024-01-21 08:35 本期继续分享来自dotnet安全矩阵星球一位师傅的个人笔记总结。 01 .NET<=4.5+禁用Mac验证 .NET≤4.5 且没打补丁KB2905247 (ViewState Mac未开启) 同时满足, 实际测试就算小于4.0也是开启了mac验证的( 打
继续阅读CVE-2023-46226 Apache iotdb远程代码执行漏洞
CVE-2023-46226 Apache iotdb远程代码执行漏洞 七彩安全研究院 WIN哥学安全 2024-01-20 22:19 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目地址 https://iotdb.apache.o
继续阅读叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP)
叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP) 冯宝宝 哪都通安全 2024-01-20 21:43 0x01 前言 Ncast盈可视高清智能录播系统 存在RCE漏洞 ,攻击者可以利用此漏洞执行任意命令 ,执行任意命令 ,通过该漏洞可以获取服务器权限 。 0x02 影响平台 Ncast 平台 0x03 漏洞复现 搜索语法 icon_hash="-1253433910
继续阅读【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告
【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-01-20 21:22 赛博昆仑漏洞安全通告- Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 漏洞描述 Confluence
继续阅读CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件
CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件 南风徐来 南风漏洞复现文库 2024-01-20 21:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公
继续阅读【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击
【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击 安全圈 2024-01-20 19:01 关键词 黑客攻击 在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛
继续阅读【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 安全圈 2024-01-20 19:01 关键词 安全漏洞 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞89个,影响到Oracle产品的其他厂商漏洞169个。包括Oracle Financial Services Applications 安全漏洞(CNNVD-202401-1551、CVE-202
继续阅读【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险
【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险 安全圈 2024-01-20 19:01 关键词 数据泄漏 不久前,安全公司Quarkslab揭示了一系列影响UEFI固件(负责启动操作系统的核心软件)的九个安全漏洞,这一组漏洞被合称为Pixie Fail。这些九个漏洞都存在于TianoCoreEFI开发套件II(EDK II)中,它们的利用可能导致远程代码执行、拒绝服务(D
继续阅读因 API 的错误配置导致 PII 泄漏漏洞
因 API 的错误配置导致 PII 泄漏漏洞 dandh811 薯条机器猫 2024-01-20 18:51 PII 指个人身份信息(Personally identifiable information) 假定被测目标为:example.com 1. 初步枚举 一旦找到一个我觉得有趣的子域名,dirsearch 就是我立即使用的工具——它是我最喜欢的目录暴力破解工具之一。它的速度非常快,并且使用
继续阅读如何拿抓取互联网上的0day???
如何拿抓取互联网上的0day??? 原创 ChinaRan404 知攻善防实验室 2024-01-20 15:28 关注本公众号,长期推送技术文章 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 前言 互联网上每天各种公众号都会发布一些漏
继续阅读