原创 | 首个国内自主挖掘的RISC-V处理器设计中危漏洞研究
原创 | 首个国内自主挖掘的RISC-V处理器设计中危漏洞研究 原创 CISRC 网络安全应急技术国家工程中心 2024-04-24 14:51 CNCERT国家工程研究中心 作者 | 胡伟 西北工业大学教授 张家琦 网络安全应急技术国家工程研究中心 摘要: 处理器安全是近年来备受关注的热点研究方向。2021年,国内首个处理器硬件安全领域的国家重点研发计划项目——纳米级芯片硬件综合安全评估关键技术
继续阅读月度归档: 2024 年 4 月
腾讯安全威胁情报中心推出2024年3月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年3月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-04-24 14:38 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞
继续阅读漏洞通告 | Primeton EOS Platform远程代码执行漏洞
漏洞通告 | Primeton EOS Platform远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-04-24 14:01 漏洞概况 Primeton EOS Platform是普元信息技术股份有限公司推出的一款集成了低代码开发、微服务应用、开发运维一体化等功能的企业级应用开发平台。它帮助企业实现软件开发、运维一体化管理,提升IT运营效率和业务响应速度。 微步漏洞团队近日通
继续阅读学习干货|玄机应急响应-网站被黑客0day攻击如何溯源应急(文末邀请码)
学习干货|玄机应急响应-网站被黑客0day攻击如何溯源应急(文末邀请码) 信安404 2024-04-24 13:55 0x01 前言 环境提供:知攻善防实验室 https://mp.weixin.qq.com/s/5ibP6E8R-GPtOEJeFK8qZA 环境背景:应急响应工程师小王收到安全设备警告,服务器设备被植入木马病毒,需进行上机排查 注:此处环境原作者未做攻击者具体步骤,原WP直接上
继续阅读某世界500强企业|存在通杀漏洞(0day)
某世界500强企业|存在通杀漏洞(0day) 原创 漏洞谷 漏洞谷 2024-04-24 13:51 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.备案信息查询(因敏感问题,所以全部打码处理) 二.漏洞名称: 某某某有限公
继续阅读CVE-2024-21111 Oracle VirtualBox 权限提升(本地权限提升)漏洞
CVE-2024-21111 Oracle VirtualBox 权限提升(本地权限提升)漏洞 TtTeam 2024-04-24 13:30 7.0.16 之前的 Oracle VirtualBox 容易受到通过符号链接跟踪的本地权限升级的影响,导致任意文件删除和任意文件移动。 VirtualBox 尝试将日志文件作为 NT AUTHORITY\SYSTEM 移动到 C:\ProgramData
继续阅读kkFileView远程代码执行漏洞分析
kkFileView远程代码执行漏洞分析 哈拉少安全小队 2024-04-24 12:17 kkFileView由于前台上传功能在处理压缩包时,从仅获取文件名改为获取文件名及其目录,导致出现了Zip Slip漏洞。这使得攻击者可上传包含恶意代码的压缩包并覆盖系统文件,随后通过调用这些被覆盖的文件实现远程代码执行。 影响版本 漏洞复现 复测版本:4.2.1 下载地址: https://github.
继续阅读第91篇:shiro反序列化漏洞绕waf防护的方法总结(上篇)
第91篇:shiro反序列化漏洞绕waf防护的方法总结(上篇) 原创 abc123info 希潭实验室 2024-04-24 12:03 Part1 前言 大家好,我是ABC_123 。Shiro反序列化漏洞 于2016年公布,漏洞编号为CVE-2016-4437,也被称为Shiro-550,虽然过去8年了,但是目前仍是红队人员重点关注和利用的漏洞。目前Shiro反序列化漏洞的数量大大减少,但是从
继续阅读致远互联 OA fileUpload.do 文件上传漏洞
致远互联 OA fileUpload.do 文件上传漏洞 lcyunkong 云途安全 2024-04-24 12:02 0x00 阅读须知 免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。 0x01 漏洞简
继续阅读沙龙议题揭秘 | 年度TOP白帽高危漏洞挖掘技巧分享
沙龙议题揭秘 | 年度TOP白帽高危漏洞挖掘技巧分享 货拉拉SRC 货拉拉安全应急响应中心 2024-04-24 11:00 穿越网络迷雾,探寻安全之巅! LLSRC 2023-2024货拉拉SRC白帽子安全沙龙暨年度颁奖典礼,即将在4月26日下午16:30(周五)视频号直播间启幕! 这不仅是一场属于白帽子的荣誉盛宴,也是一次思维碰撞与交融…… 在这里,圈内TOP白帽子将倾囊相授,分享在挖洞过程中
继续阅读五一漏洞赏金狂欢!假期放肆嗨,出游更痛快,快来领取你的游玩经费!
五一漏洞赏金狂欢!假期放肆嗨,出游更痛快,快来领取你的游玩经费! 360漏洞云 360漏洞云 2024-04-24 10:04 玩美假期 畅快五一 劳动最光荣 奋斗在路上 休息就要放肆嗨这个五一 玩美假期 快来360漏洞云领取你的活动经费 提交漏洞 领取额外奖金 让出游更痛快 让五一放肆嗨 愿付出都有回报 向所有辛勤的劳动者致敬 活动奖励 PART.1 收录范围扩大,奖金更多 收录1:参考常规集合
继续阅读一个$1600的漏洞
一个$1600的漏洞 迪哥讲事 2024-04-23 21:34 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com ****# 背景介绍 今天分享一位来自印度的独立安全研究员 Nauman Khan 的故事,他通过Auth0的错误配置,顺
继续阅读【漏洞通告】PuTTY密钥泄露漏洞CVE-2024-31497
【漏洞通告】PuTTY密钥泄露漏洞CVE-2024-31497 深瞳漏洞实验室 深信服千里目安全技术中心 2024-04-23 16:05 漏洞名称: PuTTY密钥泄露漏洞(CVE-2024-31497) 组件名称: PuTTY 影响范围: 0.68 ≤ PuTTY < 0.81 漏洞类型: 密钥管理错误 利用条件: 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 综合
继续阅读从漏洞管理向持续威胁暴露管理演进的5个关键要素
从漏洞管理向持续威胁暴露管理演进的5个关键要素 网络安全应急技术国家工程中心 2024-04-23 15:37 多年来,漏洞管理一直是网络安全领域的主要手段,旨在不断识别系统和软件中的漏洞,确定优先级,最终修复漏洞。然而随着网络安全预算紧张、远程办公的常态化,越来越复杂的威胁形势给传统漏洞管理工作提出了更加严峻的挑战。如果企业想降低重大安全事件的数量和损失,就必须创建一个能够更加全面反映组织所面临
继续阅读CrushFTP 提醒用户立即修复已遭利用的 0day 漏洞
CrushFTP 提醒用户立即修复已遭利用的 0day 漏洞 Sergiu Gatlan 代码卫士 2024-04-23 15:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 近日,CrushFTP 公司在一份非公开备忘录中提醒客户称,今天发布的新版本中修复了一个已遭活跃利用的 0day 漏洞,它可导致未认证攻击者逃逸用户的虚拟文件系统并下载系统文件,督促用户立即修复服务器。 不过,在
继续阅读Apache 项目中存在依赖混淆漏洞
Apache 项目中存在依赖混淆漏洞 代码卫士 2024-04-23 15:16 聚焦源代码安全,网罗国内外最新资讯! 作者: Alessandro Mascel lino 编译:代码卫士 已归档的一个 Apache 项目中存在一个依赖混淆漏洞。 Legit Security 公司发现了该漏洞,并表示这说明有必要审计第三方项目和依赖,尤其是被归档且有可能忽视了更新和安全补丁的第三方项目和依赖。该公
继续阅读斗象“世界五百强”客户案例巡礼之「漏洞运营管理」
斗象“世界五百强”客户案例巡礼之「漏洞运营管理」 诸葛象 斗象智能安全 2024-04-23 15:14 你已选中了添加链接的内容 “ 我们不仅仅是传统认知的一家通信设备制造企业,而且已经扩展出很多的业态,并于近些年开始布局物联网。这意味着我们的信息系统和数据开放性更强,暴露面更广,面临的安全漏洞威胁也更大。 “ Part 1 深入剖析: 百年科技巨头遭遇漏洞管理新挑战 这家具有百年历史、员工规模
继续阅读【安全圈】立即更新!思科发布 IMC 高危漏洞 PoC
【安全圈】立即更新!思科发布 IMC 高危漏洞 PoC 安全圈 2024-04-23 14:10 关键词 勒索软件 近日,思科针对集成管理控制器 (IMC) 中的一个关键漏洞发布了概念验证 (PoC) 漏洞利用程序。该漏洞被识别为 CVE-2024-20356,允许命令注入,可使攻击者获得受影响系统的 root 访问权限。 漏洞概述 该漏洞存在于思科集成管理控制器(IMC)基于网络的管理界面中,而
继续阅读AppMsg一款适用于以APP病毒分析 APP漏洞挖掘 辅助分析工具|漏洞挖掘
AppMsg一款适用于以APP病毒分析 APP漏洞挖掘 辅助分析工具|漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-23 00:00 0x01 工具介绍 一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动端(Android、iOS)辅助分析工具,可以帮助APP开发工程师、病毒分析师、漏洞/安全研究员提高工作效率,帮助渗透测试工程师、攻击
继续阅读泛微e-office系统UserSelect接口存在未授权访问漏洞
泛微e-office系统UserSelect接口存在未授权访问漏洞 南风徐来 南风漏洞复现文库 2024-04-22 21:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-office系统简介 微信公众号搜索:南风漏洞复现
继续阅读黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币
黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币 威胁监测 渗透安全团队 2024-04-22 20:03 OpenMetadata简介 OpenMetadata 是一个 开源平台 ,可作为元数据管理工具运行,为数据资产发现、可观测性和治理提供统一的解决方案。 Microsoft 威胁情报团队四月份表示,攻击者利用 OpenMetadata 中的关键漏洞,获取对
继续阅读【安全圈】黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件
【安全圈】黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件 安全圈 2024-04-22 19:01 关键词 恶意软件 DarkGate 恶意软件操作发起的新一波攻击,利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查,并自动安装虚假软件安装程序。 SmartScreen 是一项 Windows 安全功能,当用户尝试运
继续阅读【安全圈】GPT-4 会自己发起漏洞攻击,成功率高达87%
【安全圈】GPT-4 会自己发起漏洞攻击,成功率高达87% 安全圈 2024-04-22 19:01 关键词 漏洞攻击 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT-4、GPT-3.5在内的10个AI大模型进行实验,结果
继续阅读Oracle VirtualBox 权限提升漏洞 (CVE-2024-21111):PoC 已发布
Oracle VirtualBox 权限提升漏洞 (CVE-2024-21111):PoC 已发布 Naor Hodorov 独眼情报 2024-04-22 18:57 安全研究员Naor Hodorov公开了一个针对Oracle VirtualBox中严重漏洞(CVE-2024-21111)的概念验证(PoC)利用。这个漏洞影响了7.0.16之前的VirtualBox版本,允许具有基本访问权限的
继续阅读Palo Alto Networks披露PAN-OS防火墙「满分」漏洞细节
Palo Alto Networks披露PAN-OS防火墙「满分」漏洞细节 Zicheng FreeBuf 2024-04-22 18:48 自3 月 26 日以来,Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击,近日,该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400,CVSS 评分达10分,具体涉及PAN-OS 10.2、P
继续阅读GPT-4 竟然会自动实施漏洞攻击,成功率高达87%
GPT-4 竟然会自动实施漏洞攻击,成功率高达87% 流苏 FreeBuf 2024-04-22 18:48 左右滑动查看更多 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT-4、GPT-3.5在内的10个AI大模型进行实
继续阅读雷神众测漏洞周报2024.4.15-2024.4.21
雷神众测漏洞周报2024.4.15-2024.4.21 原创 雷神众测 雷神众测 2024-04-22 17:55 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读大语言模型(LLM)漏洞爆发,AI模型无一幸免
大语言模型(LLM)漏洞爆发,AI模型无一幸免 原创 FreddyLu666 FreeBuf播客电台 2024-04-22 17:50 作者 | FreddyLu666 编 | 疯狂冰淇淋 本文概述了人工智能初创公司Anthropic于2024年04月03日发表的一篇针对人工智能安全的论文,该公司在本论文中宣布的一种新的“越狱”技术,名为Many-shot Jailbreaking(多轮越狱)。文
继续阅读上周关注度较高的产品安全漏洞(20240415-20240421)
上周关注度较高的产品安全漏洞(20240415-20240421) 原创 CNVD CNVD漏洞平台 2024-04-22 17:16 一、境外厂商产品漏洞 1 、Apache Zeppelin输入验证错误漏洞(CNVD-2024-17934) Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。Apache Z
继续阅读