快速定位漏洞 BBScan 3.0 是一个高并发的、轻量级的Web漏洞扫描工具
快速定位漏洞 BBScan 3.0 是一个高并发的、轻量级的Web漏洞扫描工具 原创 lijiejie 网安守护 2024-05-28 17:08 BBScan 是一个高并发的、轻量级的Web漏洞扫描工具。它帮助安全工程师从大量目标中,快速发现,定位可能存在弱点的目标,辅助半自动化测试。 BBScan is a fast and light-weight web vulnerability sca
继续阅读月度归档: 2024 年 5 月
苹果WiFi定位系统漏洞可监控全球数亿设备
苹果WiFi定位系统漏洞可监控全球数亿设备 安信安全 安信安全 2024-05-28 17:00 近日,美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统(WPS)存在安全设计缺陷,可用于大规模监控全球用户(不使用苹果设备的人也会被监控),从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位:可监控全
继续阅读上周关注度较高的产品安全漏洞(20240520-20240526)
上周关注度较高的产品安全漏洞(20240520-20240526) 国家互联网应急中心CNCERT 2024-05-28 16:20 一、境外厂商产品漏洞 1、IBM Cognos Controller信息泄露漏洞(CNVD-2024-23286) IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理
继续阅读漏洞通告 | Showdoc 远程代码执行漏洞
漏洞通告 | Showdoc 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-28 16:00 漏洞概况 ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。 近日,微步漏洞团队获取到Showdoc 远程代码执行漏洞情报(https://
继续阅读雷神众测漏洞周报2024.05.20-2024.05.26
雷神众测漏洞周报2024.05.20-2024.05.26 原创 雷神众测 雷神众测 2024-05-28 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读商用间谍软件pcTattletale惊现漏洞和后门!17TB敏感数据遭泄露!
商用间谍软件pcTattletale惊现漏洞和后门!17TB敏感数据遭泄露! 网络安全应急技术国家工程中心 2024-05-28 14:52 一位独立研究人员曝光了商业级pcTattletale间谍软件工具中可能危及录音的漏洞后不久,该工具的网站就被黑客入侵并遭到破坏。该黑客声称已访问了至少17TB的受害者截图和其他敏感数据,在研究人员披露有限信息以防止不良行为者利用该漏洞后,他将该网站的黑客攻击
继续阅读BBScan3.0,一个高并发的Web漏洞扫描工具,辅助API安全测试
BBScan3.0,一个高并发的Web漏洞扫描工具,辅助API安全测试 扫不到漏洞的 李姐姐的扫描器 2024-05-28 12:07 背景 随着时间推移,BBScan作为一款漏洞扫描工具已经过时,在9年前,这样的工具还能够以数量和速度优势,捡到一些中低危漏洞,但如今,确实是扫不到什么有价值的东西了。 常见Web框架 引 入了更多的默认安全设计、WAF/RASP等防护技术更加成熟,曾经常见的SQL
继续阅读漏洞扫描神器 — AWVS 24.4.24(win+Linux你懂的版)
漏洞扫描神器 — AWVS 24.4.24(win+Linux你懂的版) Pwn3rzs Web安全工具库 2024-05-27 22:08 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安
继续阅读SRC实战:指纹识别->代码执行
SRC实战:指纹识别->代码执行 迪哥讲事 2024-05-27 21:00 一.发现目标 今天不小心渗透测试其它目标时点进了北京外国语大学的一个oa登陆界面 看着有点眼熟,于是去识别了一下指纹 蓝凌OA,老熟人,于是我们用一下历史漏洞打一下这个站 二.漏洞验证 验证漏洞是否可以利用,可以访问该接口 页面如下 成功访问 有戏,那我们接着利用一下 三.漏洞利用 构造上传文件,guyue.jsp
继续阅读【漏洞预警】Wireshark拒绝服务漏洞(CVE-2024-2955)
【漏洞预警】Wireshark拒绝服务漏洞(CVE-2024-2955) cexlife 飓风网络安全 2024-05-27 20:48 漏洞描述: Wireshark(前称Ethereal)是导线鲨鱼(Wireshark)团队的一套网络数据包分析软件,功能是截取网络数据包,并显示出详细的数据以供分析。 Wireshark 4.2.0至4.2.3版本和4.0.0至4.0.13版本存在拒绝服务漏洞,
继续阅读一文了解往年热门的漏洞-shiro
一文了解往年热门的漏洞-shiro 原创 CatalyzeSec CatalyzeSec 2024-05-27 20:27 什么是shiro Apache Shiro 框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 CVE-20
继续阅读G.O.S.S.I.P 阅读推荐 2024-05-27 智能合约漏洞检测到底行不行?
G.O.S.S.I.P 阅读推荐 2024-05-27 智能合约漏洞检测到底行不行? 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-05-27 20:09 今天要为大家介绍的是IEEE S&P 2024的论文Large-Scale Study of Vulnerability Scanners for Ethereum Smart Contracts,一看就知道是一项 讨
继续阅读『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560) 冷漠安全 冷漠安全 2024-05-27 19:12 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读CVE-2024-32002 Git远程代码执行漏洞分析
CVE-2024-32002 Git远程代码执行漏洞分析 原创 深潜sec安全团队 深潜sec安全团队 2024-05-27 18:48 前言 5 月18号的时候,国外安全研究员Amal Murali(@amalmurali47)放了一张截图,这引起了我的注意: 他对git RCE:CVE-2024-32002进行了分析,截图中git的日志输出打了码,让我没办法通过他的演示获取到更多的信息。最开始
继续阅读漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】
漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】 原创 实战安全研究 实战安全研究 2024-05-27 18:44 免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习
继续阅读千万奖金虚位以待,“矩阵杯”漏洞挖掘赛三大赛道火热招募中!
千万奖金虚位以待,“矩阵杯”漏洞挖掘赛三大赛道火热招募中! 360数字安全 2024-05-27 18:33 随着数字经济发展和数字中国建设进程加速,数字安全逐渐成为国家、城市、企业乃至个人不可忽视的重要防线。为了进一步发现顶尖安全人才、推动技术创新发展、挖掘并应对潜在安全威胁、全面提升我国数字安全防护能力,“矩阵杯”网络安全大赛开启漏洞挖掘赛,邀请业内顶尖漏洞猎手,开展技术巅峰较量! 汇聚业内顶
继续阅读安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构
安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构 奇安信 CERT 2024-05-27 17:41 安全资讯导视 • 中央网信办等四部门发布《互联网政务应用安全管理规定》 • 强制性国家标准《智能网联汽车时空数据传感系统安全基本要求》公开征求意见 • 日本公开首例光伏电场网络攻击事件,超800台设备遭劫持 PART01 漏洞情报 1.Google Chro
继续阅读Replicate AI 平台存在严重漏洞,可被用于暴露专有数据
Replicate AI 平台存在严重漏洞,可被用于暴露专有数据 代码卫士 2024-05-27 17:24 聚焦源代码安全,网罗国内外最新资讯! 作者: Elizabeth Montalbano 编译:代码卫士 Replicate AI 平台中存在一个严重漏洞,可导致攻击者在平台内执行恶意 AI 模型,实施多租户攻击,从而访问客户的非公开AI模型并可能暴露专有知识或敏感数据。 Wiz 公司的安全
继续阅读黑客利用 VMware ESXi 漏洞进行勒索软件攻击
黑客利用 VMware ESXi 漏洞进行勒索软件攻击 关键基础设施安全应急响应中心 2024-05-27 15:34 针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件,都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到:虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,这使它们成为威胁行为者有利可图和高
继续阅读安全动态回顾 | 《互联网政务应用安全管理规定》印发 黑客正利用Chrome、EoL D-Link漏洞进行网络攻击
安全动态回顾 | 《互联网政务应用安全管理规定》印发 黑客正利用Chrome、EoL D-Link漏洞进行网络攻击 胡金鱼 嘶吼专业版 2024-05-27 14:00 2024.5.13—5.19安全动态周回顾 2024.5.6—5.12安全动态周回顾 2024.4.29—5.5安全动态周回顾 2024.4.22—4.28安全动态周回顾 2024.4.15—4.21安全动态周回顾 2024.4.
继续阅读RuoYi 4.7.8 RCE漏洞
RuoYi 4.7.8 RCE漏洞 joyboy fly的渗透学习笔记 2024-05-26 22:58 一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢! 二、产
继续阅读漏洞挖掘 | 一次上传点解压缩的渗透测试
漏洞挖掘 | 一次上传点解压缩的渗透测试 进击的HACK 2024-05-26 22:51 扫码领资料 获网安教程 本文由掌控安全学院 – sssaa 投稿 接到授权测试,给到的信息只有: 目标网站是一个共享3D模型网站,主要的功能只有一个上传模型功能这个网站没有后台管理员入口,所以这里主要测试上传点 发现注册时可以上传头像,上传限制了白名单,且各种绕过失败(没截到图)先通过验证码爆破
继续阅读『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞
『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞 冷漠安全 冷漠安全 2024-05-26 22:31 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读【重磅更新】Struts2全版本漏洞检测工具
【重磅更新】Struts2全版本漏洞检测工具 abc123info 安全之眼SecEye 2024-05-26 20:30 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他
继续阅读【安全圈】苹果定位服务被曝漏洞,可用于追踪部队行踪
【安全圈】苹果定位服务被曝漏洞,可用于追踪部队行踪 安全圈 2024-05-26 19:00 关键词 漏洞 安全博客 Krebs on Security 本月发布博文,表示苹果公司的定位服务存在漏洞,通过 ” 窃取 “WPS 数据库,可以定位部队行踪 。 相关背景知识 手机定位固然主要依赖卫星定位,不过在城市地区,密集的高楼会导致移动设备难以接收卫星的微弱信号,因此移动设备
继续阅读【安全圈】安全漏洞再现,逾 20 万个 Confluence 数据中心实例面临暴露风险
【安全圈】安全漏洞再现,逾 20 万个 Confluence 数据中心实例面临暴露风险 安全圈 2024-05-26 19:00 关键词 安全漏洞 近日,数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山,威胁攻击者能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头,
继续阅读英特尔AI模型压缩器现满分漏洞,可导致任意代码执行
英特尔AI模型压缩器现满分漏洞,可导致任意代码执行 FreeBuf 商密君 2024-05-26 15:30 据Info risk today消息,英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞,该漏洞在 CVSS 的评分为满分10分,黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工智能模型所需
继续阅读【成功复现】SeaCMS海洋影视管理系统SQL注入漏洞(CVE-2024-29275)
【成功复现】SeaCMS海洋影视管理系统SQL注入漏洞(CVE-2024-29275) 原创 弥天安全实验室 弥天安全实验室 2024-05-26 15:21 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍SeaCMS是一套使用PHP编写的免费、开源的网站内容管理系统。该系统主要被设计用来管理视频点播资源
继续阅读本周最新7个CVE漏洞POC
本周最新7个CVE漏洞POC 原创 Fighter001 重生者安全 2024-05-26 13:17 0x00 CVE-2024-32004 POC EXP 0x01 CVE-2024-32002 POC EXP 0x02 CVE-2024-29895 POC EXP 0x03 CVE-2024-27130 POC EXP 0x04CVE-2024-4323 POC EXP 0x05CVE-20
继续阅读Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)
Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956) 冷漠安全 冷漠安全 2024-05-25 23:07 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读