月度归档： 2024 年 4 月

上周关注度较高的产品安全漏洞(20240422-20240428) 国家互联网应急中心CNCERT 2024-04-30 09:25 一、境外厂商产品漏洞 1、Linux Kernel存在拒绝服务漏洞（CNVD-2024-17902） Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel存在拒绝服务漏洞，攻击者可利用该漏洞进行拒绝服务攻击。

Primeton EOS Platform jmx反序列化远程代码执行 原创 SXdysq 南街老友 2024-04-28 21:20 漏洞描述 Primeton EOS Platform是一个由普元科技开发的企业级应用软件平台，旨在提供数字化转型、数据管理和流程优化的解决方案。 普元EOS某接口开启了JMX over HTTP功能，且未对反序列化数据进行充分的安全检查和限制。 漏洞描述 攻击者通

app漏洞产生知识 原创 yyyyyk 渗透测试知识学习 2024-04-28 19:30 应用漏洞挖掘思维主要涉及对应用程序安全性和稳定性的深入理解。以下是一些关键的挖掘思维：了解应用程序的功能和逻辑：在开始挖掘漏洞之前，需要对应用程序的功能和逻辑有深入的了解。 这包括应用程序如何处理用户输入、数据存储、网络通信等。寻找可能的入口点：入口点是攻击者可以用来攻击应用程序的地方。这可能包括应用程序界

firebase：一款功能强大的Firebase数据库安全漏洞与错误配置检测工具 FreeBuf 2024-04-28 19:01 关于firebase firebase是一款针对Firebase数据库的安全工具，该工具基于Python 3开发，可以帮助广大研究人员针对目标Firebase数据库执行安全漏洞扫描、漏洞测试和错误配置检测等任务。 该工具专为红队研究人员设计，请在获得授权许可后再进行安

过W的漏洞被质疑是造假 原创 遥遥 极梦C 2024-04-27 13:20 前言 昨天分享的一个1.5W的挖洞思路，被质疑造假，好几个人。 感受到了”网络暴力” 不要挖自己能力范围之外的漏洞 前言 陆续有朋友给我说，有人在质疑这个的真实性。我只能找一些挖洞大手子来解答一下了 想说 谁都有很多不懂的东西，完全可以换一种方式， 超过了自己的认识，找朋友研究讨论一下无可厚非 而

输入法重大漏洞曝光，近10亿用户受影响 小薯条 掌控安全EDU 2024-04-27 12:01 扫码领资料 获网安教程 近 原文地址：https://mp.weixin.qq.com/s/c8KT4GOku_YENhcfUsQ4HQ 近日，Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应