研究员利用SQL注入漏洞绕过机场的TSA安全审查
研究员利用SQL注入漏洞绕过机场的TSA安全审查 Sergiu Gatlan 代码卫士 2024-09-02 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员在一个关键的航空运输安全系统中发现一个漏洞,可被未授权人员用于绕过机场的安全检查并获得对飞机驾驶舱的访问权限。 研究人员 Ian Carroll 和 Sam Curry 在基于web的第三方服务 FlyCASS 中
继续阅读月度归档: 2024 年 9 月
安全热点周报:Google Chrome 和 Apache OFBiz 漏洞被黑客利用,紧急修复措施发布
安全热点周报:Google Chrome 和 Apache OFBiz 漏洞被黑客利用,紧急修复措施发布 奇安信 CERT 2024-09-02 17:20 安全资讯导视 • 李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》 • 美国加州议会通过人工智能法案 • 全球石油巨头哈里伯顿因网络攻击被迫关闭系统 PART01 漏洞情报 1.Windows TCP/IP IPv6远程
继续阅读黑客组织利用WPS Office零日漏洞针对国内用户展开攻击活动
黑客组织利用WPS Office零日漏洞针对国内用户展开攻击活动 BaizeSec 白泽安全实验室 2024-09-02 13:33 事件概述: 近期,ESET研究团队披露了一起严重的网络安全事件,疑似韩国背景的APT-C-60网络间谍组织以国内和东亚国家为目标,利用WPS Office的两个零日漏洞(CVE-2024-7262和CVE-2024-7263)进行网络攻击,并部署了SpyGlace恶
继续阅读美航空管理服务系统存在严重SQL注入漏洞:允许未经授权人员绕过机场安检
美航空管理服务系统存在严重SQL注入漏洞:允许未经授权人员绕过机场安检 安全客 2024-09-02 12:11 最近,一项研究揭示了航空运输安全系统中的一个严重漏洞,该漏洞允许未经授权的人员绕过机场安检。Known Crewmember(KCM)和Cockpit Access Security System(CASS)是两个允许飞行员、空乘人员及其他航空公司员工绕过传统安检并进入机舱座位的系统。
继续阅读一个$1600赏金奖励的漏洞
一个$1600赏金奖励的漏洞 迪哥讲事 2024-09-01 22:23 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行分类,在这个过程中
继续阅读CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC
CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC 原创 合规渗透 合规渗透 2024-09-01 20:11 CVE-2024-21413 是影响 Microsoft Outlook 的关键远程代码执行 (RCE) 漏洞。 这个零日漏洞也称为“MonikerLink”错误,允许攻击者在受害者的机器上执行任意代码,而无需任何用户交互。 该漏洞是由恶意制作的电
继续阅读某系统存在默认凭据漏洞
某系统存在默认凭据漏洞 原创 儒道易行 儒道易行 2024-09-01 20:00 你生而有翼,为何竟愿一生匍匐前行,形如虫蚁。 访问漏洞url: 登录页面如下: 漏洞利用poc: 漏洞利用: 输入默认账号密码:guest/guest 登陆成功: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本
继续阅读【安全圈】微软曝光朝鲜黑客利用Google Chrome浏览器零日漏洞窃取加密货币
【安全圈】微软曝光朝鲜黑客利用Google Chrome浏览器零日漏洞窃取加密货币 安全圈 2024-09-01 19:00 关键词 黑客 据微软称,8 月早些时候,一个朝鲜黑客组织利用 Chrome 浏览器中一个此前未知的漏洞,以组织为目标,窃取加密货币。在周五发布的一份报告中 ,这家科技巨头的网络安全研究人员表示,他们在 8 月 19 日首次看到了黑客活动的证据,并称黑客隶属于一个名为 Cit
继续阅读「0day」金和OA C6 jQueryUploadify.ashx存在sql注入漏洞
「0day」金和OA C6 jQueryUploadify.ashx存在sql注入漏洞 原创 7coinSec 7coinSec 2024-09-01 18:59 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规
继续阅读2024年最新新小剧场短剧影视系统代码审计(RCE)
2024年最新新小剧场短剧影视系统代码审计(RCE) 原创 Mstir 星悦安全 2024-09-01 16:49 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **2024年最新新版小剧场短剧影视小程序源码+风口项目 ,短剧APP 小程序源码 风口项目 ,短剧app 小程序 H5 多端程序 对接了易支付,修复了众多BUG 目前已知BUG全部修复,看了下没有uniapp只有编译后的,
继续阅读人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测
人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测 原创 城北 渗透安全HackTwo 2024-09-01 12:12 前言 自动渗透测试 SmartScanner提供的自动渗透测试简化了评估计算机系统安全性的过程。本质上,它进行授权的模拟网络攻击,以评估系统对潜在威胁的防御能力。 使用SmartScanner,启动渗透测试毫不费力。只需输入您的网
继续阅读记一次某中学系统越权漏洞
记一次某中学系统越权漏洞 原创 zkaq-kpc 掌控安全EDU 2024-09-01 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – kpc 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、确定测试站点 资产的收集依旧是按照弱口令与注册进站的思路进行寻找(具体思路可参考上篇文章,含有完整的收集思路与个人信息搜集方
继续阅读漏洞挖掘|自动备案批量查询脚本
漏洞挖掘|自动备案批量查询脚本 原创 zkaq – xuejiuhan 掌控安全EDU 2024-09-01 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 最近发现蛮多师傅在去挖补天、或者cnvd的时候,大批量去dump资产要证明归属,奈何一个一个的
继续阅读开源软件中的加密漏洞
开源软件中的加密漏洞 GRCC IoVSecurity 2024-09-01 11:28 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 特斯拉安全漏洞的发现过程.ppt 车联网安全漏洞挖掘 了解软件漏洞生命周期.ppt
继续阅读实战|任意用户漏洞挖掘分享
实战|任意用户漏洞挖掘分享 0xh4ck3r 2024-09-01 09:44 这是一次在工作当中遇到的一次比较搞笑的任意用户登录漏洞,简单的记录一下,也结合了一下近期的任意登录案例进行一个复盘,旨在自身在开发过程中应注意代码规范,防患于未然。 (本文首发博客:https://sanshiok.com/archive/11.html) 登录框checklist 遇到登录框必检查的checklist
继续阅读「冷漠安全」八月份0day/1day/nday漏洞汇总
「冷漠安全」八月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-09-01 09:34 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读韩国黑客利用 WPS Office 零日漏洞部署恶意软件
韩国黑客利用 WPS Office 零日漏洞部署恶意软件 ZIcheng FreeBuf 2024-09-01 09:30 据BleepingComputer消息,与韩国有关的网络黑客组织 APT-C-60近期一直在利用 Windows 版 WPS Office 中的零日漏洞,针对东亚地区目标部署 SpyGlace 后门。 这个被跟踪为 CVE-2024-7262 的零日漏洞至少自 2024 年
继续阅读漏洞预警 | 赛蓝企业管理系统任意文件上传漏洞
漏洞预警 | 赛蓝企业管理系统任意文件上传漏洞 浅安 浅安安全 2024-09-01 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。 0x03 漏洞详情 漏洞类型: 文件上传 影响: 上传恶意文件 简述: 赛蓝企业管
继续阅读漏洞预警 | 同鑫T9eHR信息化管理系统SQL注入漏洞
漏洞预警 | 同鑫T9eHR信息化管理系统SQL注入漏洞 浅安 浅安安全 2024-09-01 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 同鑫T9eHR信息化管理系统是一款专为解决企业人力资源管理痛点而设计的全面解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 同鑫T9eHR信息化管理
继续阅读漏洞预警 | Ivanti vTM身份认证绕过漏洞
漏洞预警 | Ivanti vTM身份认证绕过漏洞 浅安 浅安安全 2024-09-01 08:00 0x00 漏洞编号 – # CVE-2024-7593 0x01 危险等级 – 高危 0x02 漏洞概述 Ivanti vTM通过提供强大的流量管理和优化功能,帮助企业确保应用程序的高可用性和性能。它支持多种协议和负载均衡算法,能够灵活应对各种复杂的网络环境和业务需求。 0
继续阅读漏洞复现 || Bazaar swaggerui目录遍历
漏洞复现 || Bazaar swaggerui目录遍历 韩文庚 我爱林 2024-09-01 07:07 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文
继续阅读HW2024 283个漏洞PoC合集
HW2024 283个漏洞PoC合集 原创 十九线菜鸟 十九线菜鸟学安全 2024-08-31 21:20 经过了将近2个月的拉锯战, 一年一度保护碗筷行动临近尾声。有史以来最长的演习结束,不知各位师傅现在感觉怎么样,是不是已经买好机票准备度假了☺ 通过今年漏洞情报的数据能看出战况的激烈,本次演习期间收集到的公开漏洞PoC共283个,已经汇总成148页的漏洞文档分享给大家,关注公众号,后台回复 “
继续阅读韩国黑客利用WPS零日漏洞开展大规模间谍活动
韩国黑客利用WPS零日漏洞开展大规模间谍活动 GoUpSec 商密君 2024-08-31 19:50 近日,ESET安全研究人员发现韩国网络间谍组织APT-C-60利用WPS Office Windows版本中的一个零日代码执行漏洞(CVE-2024-7262),在东亚地区的目标系统中安装了名为SpyGlace的后门程序。 WPS Office是中国金山软件公司开发的一款生产力套件,在亚洲地区拥
继续阅读某视频云平台存在未授权窃取用户凭据漏洞
某视频云平台存在未授权窃取用户凭据漏洞 原创 儒道易行 儒道易行 2024-08-31 18:03 我和你一样,历经破碎、痛苦的生活,却未垮掉,每一日都从承受的苦难中,再一次将额头浸入光明 漏洞详情: 某视频云平台存在未授权访问漏洞,攻击者可以直接访问平台的API接口文档,从而获取系统的API接口造成信息泄露。 漏洞实战: 用户账户密码信息泄露:构造payload,访问漏洞url 漏洞证明: 利用
继续阅读