专题·漏洞治理 | 软件安全研发成熟度模型研究与实践
专题·漏洞治理 | 软件安全研发成熟度模型研究与实践 原创 王滨 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 杭州海康威视数字技术股份有限公司 王滨 物联网已经渗透到社会经济的方方面面,构建出一个全新的智能化世界。然而,物联网设备的快速增长加剧了网络的开放性和复杂性,由此带来的日益严峻的安全挑战成为制约
继续阅读月度归档: 2024 年 7 月
专题·漏洞治理 | 安全验证导向的漏洞管理方案分析
专题·漏洞治理 | 安全验证导向的漏洞管理方案分析 原创 李瀛 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 绿盟科技集团股份有限公司 李瀛 为了衡量漏洞管理的成效,漏洞管理产品需要具备一种机制,能够实时验证被防护系统的安全状态,管控过程的进展,并将此进展与漏洞管理活动进行反馈、互动和闭环。安全验证导向的
继续阅读漏洞预警 电信 网关 ipping.php 命令执行漏洞
漏洞预警 电信 网关 ipping.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2024-07-24 15:17 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
继续阅读护网第一天!浪潮云财务系统RCE已首发披露!
护网第一天!浪潮云财务系统RCE已首发披露! 原创 棉花糖糖糖 棉花糖fans 2024-07-22 23:19 0.前言 护网在即,棉花糖组建了蓝队情报共享群,为大家提供攻击IP、护网吃瓜、钓鱼木马信息、护网常用文档、0day披露等资讯,详情可见以下文章~ 护网时间已确定,你确定不需要这个蓝队情报共享群? 本文相关内容在群公告链接内实时更新。 人工坚持更新不易,如果对您有帮助,还请给本文点个赞,
继续阅读【漏洞预警】泛微 E-Cology 任意文件写入漏洞
【漏洞预警】泛微 E-Cology 任意文件写入漏洞 cexlife 飓风网络安全 2024-07-22 22:37 漏洞详情:近日,泛微网络发布2024年7月安全紧急更新,修复了影响Ecology8.0和Ecology9.0的一处任意文件写入漏洞,建议受影响用户尽快升级至最新版本。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:安全版本:升级安全补丁包至10.65及以上版本升级方法:
继续阅读【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞
【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞 cexlife 飓风网络安全 2024-07-22 22:37 漏洞描述:Nacos是一个用于动态服务发现和配置以及服务管理的平台,Derby是一个轻量级的嵌入式数据库,接口/nacos/v1/cs/ops/derby和/nacos/v1/cs/ops/data/removal在使用Derby 数据库作为内置数据源时,用于运维人员进
继续阅读专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形
专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形 原创 丁斌等 中国信息安全 2024-07-22 18:32 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京启明星辰信息安全技术有限公司 丁斌 张苗苗 范占利 宋楠 王硕玮 在当今数字化浪潮席卷全球的背景下,随着信息技术的迅猛发展,网络安全问题日益凸显。漏洞作为网络攻击的主要入口,成为一种
继续阅读神漏洞!远程篡改红绿灯时间,制造交通堵塞事故
神漏洞!远程篡改红绿灯时间,制造交通堵塞事故 安全内参编译 安全内参 2024-07-22 17:41 关注我们 带你读懂网络安全 虽然无法切换红灯绿灯,但通过篡改信号时长,依然可以制造出交通堵塞事故; 研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 前情回顾·无所不能的漏洞 – 神漏洞!GE医疗超声设备感染勒索软件,设备停摆、数据遭篡改 神漏洞!热门扳手感染勒索软
继续阅读【手表众测招募啦!】单个漏洞最高奖励可达6w,还有机会免费赢得一加手表!
【手表众测招募啦!】单个漏洞最高奖励可达6w,还有机会免费赢得一加手表! OPPO安全中心 2024-07-22 17:36 24年首期手表众测即将开启! 单个漏洞奖励最高可达6w! 还有机会免费把一加手表带回家! 如果你是 手表重度使用者、IoT发烧友、一加狂热粉…… 就千万别错过这次众测啦! 活动时间 招募时间:2024年7月22日-2024年7月26日 设备发放时间:2024年7月31日前完
继续阅读安全热点周报:本周新增四个在野利用漏洞,Magento、SolarWinds等企业级应用受波及
安全热点周报:本周新增四个在野利用漏洞,Magento、SolarWinds等企业级应用受波及 奇安信 CERT 2024-07-22 17:31 安全资讯导视 • Crowdstrike更新导致全球近千万台Windows蓝屏死机 • 重大事故!美国电信巨头AT&T几乎所有用户的电话记录泄露 • 北约发布新版《人工智能战略》概要 PART01 漏洞情报 1.JumpServer多个高危后
继续阅读上周关注度较高的产品安全漏洞(20240715-20240721)
上周关注度较高的产品安全漏洞(20240715-20240721) 原创 CNVD CNVD漏洞平台 2024-07-22 17:31 一、境外厂商产品漏洞 1、 Microsoft Windows Secure Boot安全功能绕过漏洞(CNVD-2024-32545)**** Microsoft Windows Secure Boot是美国微软(Microsoft)公司的安全启动。Micros
继续阅读防微杜渐,加强漏洞治理的应急响应环节
防微杜渐,加强漏洞治理的应急响应环节 关键基础设施安全应急响应中心 2024-07-22 14:44 当前,随着新技术和互联网的迅猛发展,网络安全威胁呈现出前所未有的复杂性和严峻性。新应用、新场景的不断增多,软件供应链生命周期长、环节复杂、暴露面多,使得网络安全攻防的核心——“漏洞”的问题更加突出。 根据中国信息安全测评中心 2023 年牵头编写的《全球高级持续性威胁(APT)研究报告》显示,零日
继续阅读无影(TscanPlus) v2.2发布:1300+内置Poc
无影(TscanPlus) v2.2发布:1300+内置Poc 原创 重剑无锋 Tide安全团队 2024-07-22 11:30 声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 【无影(TscanPlus) v2.2新增key认证功能,转发本文章到朋友圈,获赞30个以上,截图
继续阅读「推安早报」0722 | exchange、漏洞赏金等
「推安早报」0722 | exchange、漏洞赏金等 bggsec 甲方安全建设 2024-07-22 09:09 # 2024-07-22 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代表本人偏好或认可
继续阅读速报:某EDR产品服务端RCE 0day漏洞临时加固方案
速报:某EDR产品服务端RCE 0day漏洞临时加固方案 原创 abc123info 希潭实验室 2024-07-21 22:22 Part1 前言 大家好,我是ABC_123 。一年一度的大考即将开始了,坊间确切消息,某EDR的服务端存在RCE的0day漏洞,具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案,有其他修补建议欢迎在文末给我留言。 Part2 研究过程 一般一个单位最
继续阅读漏洞利用小工具V1.3更新
漏洞利用小工具V1.3更新 原创 ddwGeGe 弱口令验证机器人 2024-07-21 21:52 【 本文仅为学习和交流,切勿用作非法攻击 , 参与非法攻击与笔者无关 !!!】 最近比较忙,抽空更新一下小工具,修复部分bug问题,也收到一些师傅的反馈,调整部分漏洞的探测方式,由于精力有限(也卷不动了 ),后续可能不在更新优化工具,一切随缘吧 ~~ 声明: 作者不参与任何 HVV/GFYL/红队
继续阅读记某智慧云平台越权信息泄露SessionKey篡改 任意用户登录漏洞
记某智慧云平台越权信息泄露SessionKey篡改 任意用户登录漏洞 routing Z2O安全攻防 2024-07-21 20:34 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所
继续阅读【漏洞预警】WooCommerce – Social Login数据篡改漏洞(CVE-2024-6636)
【漏洞预警】WooCommerce – Social Login数据篡改漏洞(CVE-2024-6636) 原创 聚焦网络安全情报 安全聚 2024-07-21 20:00 预警公告 严重 近日,安全聚实验室监测到 WooCommerce – Social Login 存在数据篡改漏洞,编号为:CVE-2024-6636,CVSS:9.8 此漏洞使得未经身份验证的攻击者能够
继续阅读用友U8 CRM 文件上传致RCE漏洞
用友U8 CRM 文件上传致RCE漏洞 合规渗透 合规渗透 2024-07-21 15:34 Fofa语法 title=” 用友 U8CRM” 漏洞POC POST /crmtools/tools/import.php?DontCheckLogin=1&issubmit=1 HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Window
继续阅读「推安早报」0721 | apache2个检测poc公开
「推安早报」0721 | apache2个检测poc公开 bggsec 甲方安全建设 2024-07-21 09:47 # 2024-07-21 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代表本人偏好或认
继续阅读【漏洞预警】Apache CXF SSRF漏洞(CVE-2024-29736)
【漏洞预警】Apache CXF SSRF漏洞(CVE-2024-29736) 原创 聚焦网络安全情报 安全聚 2024-07-20 20:04 预警公告 高危 近日,安全聚实验室监测到Apache CXF 版本的 WADL 服务中存在一个 SSRF 漏洞,编号为:CVE-2024-29736,CVSS:8.6 此漏洞在配置了自定义样式表参数时,允许攻击者对 REST Web 服务执行 SSRF
继续阅读首发0day-1Panel面板最新前台RCE漏洞(内附Poc)
首发0day-1Panel面板最新前台RCE漏洞(内附Poc) 实战安全研究 2024-07-20 13:17 0x00 漏洞描述 1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 图形界面轻松管理 Linux 服务器,实现主机监控、文件管理、数据库管理、容器管理等功能。且深度集成开源建站软件 WordPress 和 Halo. 0x**01 影响范围 网站监控功能影
继续阅读【 CVE | 漏洞复现】Next.js框架存在SSRF漏洞(CVE-2024-34351)
【 CVE | 漏洞复现】Next.js框架存在SSRF漏洞(CVE-2024-34351) 小明同学 小明信安 2024-07-20 12:49 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删
继续阅读某通用系统0day审计过程
某通用系统0day审计过程 Zjacky 白帽子左一 2024-07-20 12:19 扫码领资料 获网安教程 文章来源: https://forum.butian.net/share/2873 某通用系统0day审计过程 前言 本篇文章首发在先知社区 作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13866 代码审计篇章都是
继续阅读「漏洞复现」数字通云平台 智慧政务OA PayslipUser SQL注入漏洞
「漏洞复现」数字通云平台 智慧政务OA PayslipUser SQL注入漏洞 冷漠安全 冷漠安全 2024-07-20 11:31 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平
继续阅读Cisco曝超严重漏洞,黑客可修改管理员密码
Cisco曝超严重漏洞,黑客可修改管理员密码 疯狂冰淇淋 黑客技术与网络安全 2024-07-20 11:01 来自:FreeBuf,作者:疯狂冰淇淋 链接:https://www.freebuf.com/news/406337.html 近日,思科公司披露了其智能软件管理器本地版(SSM On-Prem)中的一个关键漏洞,该漏洞允许未经身份验证的远程攻击者更改任何用户的密码,包括管理员用户的密码
继续阅读某TP拼团零售商城系统RCE漏洞审计
某TP拼团零售商城系统RCE漏洞审计 Mstir 星悦安全 2024-07-20 10:27 0x00 前言 ThinkPHP5 拼团拼购系统,支持热门商品,余额总览,红包分销,商品销售,购物车等功能,后台使用管理系统所构建. Fofa:”/public/static/plugins/zepto/dist/zepto.js” 框架:ThinkPHP 5.0.24 Debug
继续阅读GeoServer 综合漏洞扫描工具V1.2 发布!
GeoServer 综合漏洞扫描工具V1.2 发布! 信安404 2024-07-19 20:55 0x01 工具更新 增加了注入内存马的功能,修复了检测漏洞的判断方式,减少了误报率 0x02 使用方法 由于程序调用的是jMG-gui-obf-1.0.8,没有内置加载的payload,所以将java环境带了上去进行调用 后续会 内置一些Payload。 生成Payload 根据对方中间件来选择组件
继续阅读【已复现】Nacos 后台 removal 接口 SQL 执行致远程代码执行漏洞
【已复现】Nacos 后台 removal 接口 SQL 执行致远程代码执行漏洞 长亭安全应急响应中心 2024-07-19 20:19 Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。2024年7月,互联网披露了一个Nacos的漏洞利用。经分析,攻击者可利用该漏洞获取操作系统权限,建议受影响的客户尽快修复漏洞。 漏
继续阅读思科 SSM 本地漏洞可用于修改任意用户的密码
思科 SSM 本地漏洞可用于修改任意用户的密码 网安百色 2024-07-19 19:31 思科修复了一个CVSS满分漏洞,可导致攻击者更改易受攻击的 Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) 许可服务器上包括管理员在内的任何用户的密码。 该漏洞还影响早于 Release 7.0 的 SSM On-Prem 服务器,即 Cis
继续阅读