ALBeast 漏洞导致数千个 AWS 应用程序面临关键 AuthN/AuthZ 绕过风险 独眼情报 2024-08-24 12:34 ALBeast 攻击演示 | 图片:Miggo Miggo Research 发现了一种新的基于配置的漏洞,称为 ALBeast,影响大量依赖 AWS 应用程序负载均衡器 (ALB) 进行身份验证的应用程序。此严重漏洞允许攻击者绕过身份验证和授权机制,可能导致未经
继续阅读利用ce修改器进行漏洞挖掘(内存修改) 原创 zkaq-lao六 掌控安全EDU 2024-08-24 12:02 扫码领资料 获网安教程 本文由掌控安全学院 – lao六 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) CE修改器原理 ce修改器可以修改内存数值,因为有些程序会把一些值放在本地,然后改动的时候访问的本地的值,修改
继续阅读工具|测试水平越权使用的虚拟身份X生成器+1576个Goby附加POC 原创 老呆 卫界安全-阿呆攻防 2024-08-24 11:54 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,知识生产需要时间,最近也没什么发的,呆哥在做公司儿童医院测试要用身份证注册,非得要16岁以下的,自己瞎编注册的一直报错不行,所以找到个宝藏项目打包了一下,简单对代码进行分析一下完全OK,有
继续阅读官方强烈建议更新,关键漏洞影响GitHub Enterprise Server所有版本 疯狂冰淇淋 FreeBuf 2024-08-24 09:30 左右滑动查看更多 近日,GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server(GHES)当前所有支持版本的关键漏洞(CVE-2024-6800),该漏洞可能允许攻击者获得对该实例内容的无限制访问。目
继续阅读某招聘系统0day挖掘(获取4站点报告证书) goddemon goddemon的小屋 2024-08-24 09:21 前言: 小白文,首发在星球里面,没啥好多说的 21年的挖的漏洞了漏洞均已提交且均已修复,这里文章只做技术交流 挖掘过程 对我来说,毕竟喜欢直接黑盒挖0day,一个0day挖到后就可以刷上百分。 如该系统正常找了一个招聘系统用的比较多的 如该通用系统,该通用系统存在一个注册功能
继续阅读漏洞预警 | 用友NC任意文件上传漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读漏洞预警 | 北京中科聚网一体化运营平台文件上传漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 北京中科聚网信息技术有限公司的一体化运营平台是一个综合性的信息系统,旨在为企业或机构提供全方位的运营支持和管理服务 0x03 漏洞详情 漏洞类型: 文件上传 影响: 接管服务器 简述: 北
继续阅读漏洞预警 | AJ-Report权限绕过漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。 0x03 漏洞详情 漏洞类型: 权限绕过 影响: 获取敏感信息 简述: AJ-Report
继续阅读「漏洞复现」金和OA C6 DBModules.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-08-24 07:38 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读edu漏洞平台挖掘-7月总结 原创 湘南第一深情 湘安无事 2024-08-23 23:46 声明 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。记得点点关注哦!谢谢! 免费送edu邀请码。 上个月成果展示 7月的湘安
继续阅读小米在 Pwn2Own Toronto 2023 大赛前修补了 RCE 漏洞,并在大赛结束后删除了补丁 原创 Pwn2Own 安全之眼SecEye 2024-08-23 21:37 在 Pwn2Own Toronto 2023 竞赛期间,列出了几个类别和设备供研究人员瞄准。至于移动设备,有 Apple iPhone 14、Google Pixel 7、三星 Galaxy S23 和小米 13 Pr
继续阅读漏洞预警|微信内置 chrome 浏览器 RCE 威胁情报运营中心 矢安科技 2024-08-23 21:15
继续阅读再看云虚拟化安全.QEMU通用漏洞挖掘新思路 GRCC IoVSecurity 2024-08-23 20:27 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 基于模糊测试的云原生软件供应链安全保障 基于云的车队安全监
继续阅读应用程序的安全漏洞会造成什么后果? 三沐 三沐数安 2024-08-23 20:24 Web 应用程序是一把双刃剑:它们是潜在客户的完美展示,但同时也是偷偷潜入和掠夺业务的巨大窗口。Web 应用程序中的安全漏洞可能会引发严重事件。 没有人是安全的。如果国王或政府首脑等名人的电话号码被公开,会发生什么? 骚扰。威胁。身份盗窃。账户盗窃。 可能造成的后果不胜枚举。不过,幸运的是,2021 年夏天,马德
继续阅读在野漏洞的应急响应流程 原创 裴伟伟 洞源实验室 2024-08-23 20:03 许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传
继续阅读思科修复由NSA报送的两个高危漏洞 Ionut Arghire 代码卫士 2024-08-23 18:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,思科修复了多款产品中的多个漏洞,其中一个是位于企业协作解决方案中的高危漏洞CVE-2024-20375。 CVE-2024-20375是一个高危漏洞(CVSS评分8.6),影响思科 Unified Communications M
继续阅读SolarWinds 修复 Web Help Desk 中的硬编码凭据漏洞 Sergiu Gatlan 代码卫士 2024-08-23 18:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 为一个严重的 Web Help Desk 漏洞发布热修复方案。该漏洞可导致攻击者使用硬编码凭据登录到未修复系统中。 Web Help Desk (WHD) 是一款IT帮助桌面软
继续阅读重庆银行漏洞扫描与基线核查系统项目招标 点击关注-> 智探AI应用 2024-08-23 18:12 招标条件 本重庆银行(新)漏洞扫描与基线核查系统项目已由项目审批/核准/备案机关批准,项目资金为自筹资金57万元;招标人为重庆银行股份有限公司。本项目已具备招标条件,现进行公开招标。 2.项目概况和招标范围 规模:重庆银行(新)漏洞扫描与基线核查系统项目,采购预算:57 万元。 范围:本招标
继续阅读【漏洞通告】WordPress LiteSpeed Cache权限提升漏洞(CVE-2024-28000) 启明星辰安全简讯 2024-08-23 18:07 一、漏洞概述 漏洞名称 WordPress LiteSpeed Cache权限提升漏洞 CVE ID CVE-2024-28000 漏洞类型 权限提升 发现时间 2024-08-22 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络
继续阅读【8/23特辑】今日热点漏洞,你排查了没? 安恒研究院 安恒信息CERT 2024-08-23 18:06 漏洞导览 · 赛蓝企业管理系统存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 东胜物流软件存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 汇智企业资源管理系统存在文件上传漏洞 漏洞概况 在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理
继续阅读DouPHP(CVE-2024-7917、代码分析xss)漏洞复现 原创 LULU 红队蓝军 2024-08-23 18:01 漏洞介绍 漏洞:CVE-2024-7917 介绍:DouPHP 1.7_Release_20220822版本中存在一个远程代码执行(RCE)漏洞。拥有管理员权限的攻击者可以通过该漏洞在服务器上执行任意命令。漏洞通过上传恶意ico文件、修改文件扩展名来执行PHP代码 该漏洞
继续阅读模糊测试平台SFUZZ V3.4惊喜升级 | 测试协议数突破200+,漏洞挖掘更全面 原创 小安君 开源网安 2024-08-23 17:52 近日,开源网安模糊测试工具SFUZZ迎来V3.4版本的更新, 加强了协议覆盖范围以及协议模糊测试监视器能力,可测试协议数量超过200+ ,并提升了测试管理精度,让SFUZZ持续高水准地帮助客户挖掘未知漏洞,更好地为车联网、工业互联网、通信等行业客户提升产品
继续阅读漏洞预警 点企来 客服系统 getwaitnum sql注入漏洞 by 融云安全-sm 融云攻防实验室 2024-08-23 17:49 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使
继续阅读错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 安信安全 安信安全 2024-08-23 17:01 新闻速览 •《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求 •麻省理工首发AI风险管理数据库,全面覆盖777种风险 •英国企业网络威胁态势调查:每44秒就会面临一次新的网络攻击 •错误展
继续阅读关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告 网络靖安司CSIZ 2024-08-23 17:00 安全公告编号: CNTA-2024-0011 2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞( CNVD-2024-34918 ,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务
继续阅读CVE-2024-38856:Apache OFBiz远程代码执行漏洞 宁云志科技 2024-08-23 16:08 关注我们❤️,添加星标🌟,一起学安全!作者:hexixi@Timeline Sec 本文字数:3813阅读时长:2~4mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache OFBiz 是一个开源 ERP 系统,可帮助企业自动化和集成会计、人力
继续阅读钓客服、打漏洞……钓鱼攻击或进入最后的疯狂 原创 ThreatBook 微步在线 2024-08-23 14:46 随着外围打点变得越来越困难,社工钓鱼的比例变的越来越高。 微步对近一个月的大量钓鱼攻击和数千种木马样本做了数据分析,呈现出以下特点: 社工欺骗篇 钓鱼主题:通知、简历依旧领先,但针对性有所增强 通知、简历、招聘、薪酬等相关字眼,历来都是钓鱼攻击最常用的鱼饵。与此同时,为达到更强的欺
继续阅读山石网科:关于网传WAF漏洞说明 原创 优质可靠的 山石网科新视界 2024-08-22 23:54 山石网科安全公告 尊敬的用户: 您好! 近日,山石网科产品安全事件响应团队(PSIRT)接到了关于山石网科WAF产品潜在安全漏洞的报告。经过我司技术团队深入分析,确认此漏洞影响的版本范围为5.5R6-2.6.7至5.5R6-2.8.13。 该漏洞已在2022年8月发布的WAF 5.5R6-2.8.
继续阅读【漏洞预警】泛微网络E-cology BlogService 未授权SQL注入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到泛微网络E-cology存在一个SQL注入漏洞,未经过身份验证的攻击者可以通过该漏洞获取数据库敏感信息。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:官方补丁下载链接: https://www.weaver.com.cn/
继续阅读【漏洞预警】山石网科应用防火墙WAF未授权命令注入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到山石网科发布安全公告,修复了山石网科应用防火墙(WAF)中存在的未授权命令注入漏洞,恶意攻击者可通过构造恶意请求,拼接命令执行任意代码,控制服务器。修复方案:官方已针对此漏洞发布安全公告和修复版本,受影响用户可通过山石网科官方渠道获取相关产品的更新信息。受影响版本
继续阅读