谷歌:安卓内存安全漏洞大幅下降68%
谷歌:安卓内存安全漏洞大幅下降68% GoUpSec 2024-09-26 10:18 过去五年中,Android(安卓)系统的内存安全漏洞比例从2019年的76%大幅下降至2024年的24%,下降幅度超过68%。且Android安全性得到显著改善的同时,并未影响向后兼容性。 谷歌双管齐下治理内存安全 与Chromium系统内存安全漏洞70%的比例相比,Android的表现尤为突出,展示了一个庞大
继续阅读月度归档: 2024 年 9 月
【PoC】SolarWinds Web Help Desk (CVE-2024-28987)严重漏洞的 PoC 已发布
【PoC】SolarWinds Web Help Desk (CVE-2024-28987)严重漏洞的 PoC 已发布 独眼情报 2024-09-26 10:14 有关 CVE-2024-28987 的详细信息和概念验证 (PoC) 漏洞代码现已公开,该漏洞是最近修补的 SolarWinds Web 帮助台 (WHD) 漏洞,未经身份验证的攻击者可以利用该漏洞远程读取和修改所有帮助台票证详细信息。
继续阅读【Exp】Ivanti 22.2R1/22.7R2 管理面板身份验证绕过CVE-2024-7593
【Exp】Ivanti 22.2R1/22.7R2 管理面板身份验证绕过CVE-2024-7593 独眼情报 2024-09-26 10:14 免责申明: 信息整理于网络,风险与后果自行判断,一切后果与本公众号无关! CVE-2024-7593 漏洞脚本 此 Bash 脚本是利用 Ivanti vTM (CVE-2024-7593) 中的身份验证绕过漏洞的概念验证 (PoC)。它允许用户在目标系统
继续阅读TeamViewer for Windows CVE-2024-7479(8.8)存在提权漏洞
TeamViewer for Windows CVE-2024-7479(8.8)存在提权漏洞 独眼情报 2024-09-26 10:14 TeamViewer 的 Windows 远程客户端软件发现了一个严重的安全漏洞。此漏洞可能允许攻击者提升其在受影响系统上的权限。 该漏洞被标识为 CVE-2024-7479 和 CVE-2024-7481,影响 TeamViewer 的 Windows Re
继续阅读MSF使用教程永恒之蓝漏洞扫描与利用【黑客渗透测试零基础入门必知必会】
MSF使用教程永恒之蓝漏洞扫描与利用【黑客渗透测试零基础入门必知必会】 龙哥 龙哥网络安全 2024-09-26 10:01 前言 1 MSF框架 1.1 MSF简介 Metasploit框架(Metasploit Framework, MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编写的模板化框架,具有很好的扩展性,便于渗透测试人员开发、使用定制的工具模板。 Metasploi
继续阅读你的接口漏洞该补上了……
你的接口漏洞该补上了…… e安在线 e安在线 2024-09-26 09:49 你的接口漏洞 该补上了….. 益安在线 如果支付接口存在漏洞 就会给黑客提供可乘之机 假如因此被黑客攻击入侵 网络运营者同样需要承担责任然而,来宾网警在工作中发现 该市某医院对之前公安机关提出的 安全漏洞整改要求却“整而不改” 于是对这种不履行网络安全义务行为 给予行政处罚 案件回顾 2024年4月 在“两
继续阅读Thinkphp5.1.0-Thinkphp5.1. 文件包含漏洞(CNVD-2024-29981)
Thinkphp5.1.0-Thinkphp5.1. 文件包含漏洞(CNVD-2024-29981) 三十的安全屋 2024-09-26 09:07 声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 Thinkphp5.1.0-Thinkphp5.1.*文件包含漏洞 (CNVD-2024-29981) time 4.24 测试版本:thinkphp
继续阅读高危风险突出的100个漏洞
高危风险突出的100个漏洞 安全架构 安全架构 2024-09-26 08:30 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。 近日,公安机关网
继续阅读漏洞预警 | 直播点播系统未授权访问漏洞
漏洞预警 | 直播点播系统未授权访问漏洞 浅安 浅安安全 2024-09-26 08:00 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 奥酷普教版视频直播点播系统是北极星通公司为回馈广大用户厚爱,针对普教市场,推出的流媒体视频直播、录播、点播解决方案。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 未授权操作 简述: 奥酷普教版视频
继续阅读CISA 警告 Apache HugeGraph-Server 漏洞遭积极利用
CISA 警告 Apache HugeGraph-Server 漏洞遭积极利用 Rhinoer 犀牛安全 2024-09-26 06:20 美国网络安全和基础设施局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了五个漏洞,其中包括影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞。 该漏洞的编号为CVE-2024-27348,级别为严重(CVSS v3
继续阅读记一次有趣的XSS漏洞挖掘
记一次有趣的XSS漏洞挖掘 船山信安 2024-09-26 00:00 功能点一 首先这里的话是存在一个简单的功能点,就是可以发布自己的一个作品,这里挖掘的时候想法肯定就是插一些xss的payload(因为我们就是挖掘xss嘛),所以的话就插了一些payload进行测试,意料之中,肯定是没有反应的。但是我们肯定是不能放弃的,因为在挖掘的时候很多漏洞可能是组合在一起产生的,所以我们可以多一些脑洞。
继续阅读GraphQL API 漏洞挖掘基础学习
GraphQL API 漏洞挖掘基础学习 原创 【白】 白安全组 2024-09-25 23:03 前言 GraphQL API漏洞是由于设计缺陷产生,比如,自省功能处于开启状态,使攻击者可以查询API来收集架构的信息。 查找GraphQL端点 我们测试GraphQLAPI之前,需要找到端点,由于GraphQL对所有请求都使用相同的端点,所以找到端点很有价值。 如何发现端点 1、BurpSuite
继续阅读【漏洞预警】PgAdmin身份验证缺陷漏洞CVE-2024-9014
【漏洞预警】PgAdmin身份验证缺陷漏洞CVE-2024-9014 cexlife 飓风网络安全 2024-09-25 22:34 漏洞描述:pgAdmin发布安全公告,paAdmin 8.11及早期版本的OAuth2认证存在一个身份验证安全漏洞,该漏洞可能允许攻击者获取客户端ID和密钥,从而导致未授权访问用户数据,造成敏感数据泄露。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读【漏洞预警】Google Chrome Dawn UAF漏洞CVE-2024-8904
【漏洞预警】Google Chrome Dawn UAF漏洞CVE-2024-8904 cexlife 飓风网络安全 2024-09-25 22:34 漏洞描述: Google Chrome发布新版本,新版本修复了多个安全漏洞,其中包括一个 Dawn中的UAF漏洞,允许远程攻击者通过特制的HTML页面潜在地利用堆损坏,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。修复建议:正式防
继续阅读【漏洞预警】Apache HertzBeat SnakeYaml 反序列化漏洞可致远程代码执行CVE-2024-42323
【漏洞预警】Apache HertzBeat SnakeYaml 反序列化漏洞可致远程代码执行CVE-2024-42323 cexlife 飓风网络安全 2024-09-25 22:34 漏洞描述:Apache HertzBeat发布新版本,修复了一处SnakeYaml反序列化漏洞,该漏洞是由于使用了存在漏洞的SnakeYaml解析库,导致攻击者可以通过恶意YAML 配置文件触发反序列化漏洞,从而
继续阅读「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞
「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞 冷漠安全 冷漠安全 2024-09-25 19:20 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读【安全圈】你的接口漏洞该补上了……
【安全圈】你的接口漏洞该补上了…… 安全圈 2024-09-25 19:02 关键词 安全漏洞 如果支付接口存在漏洞就会给黑客提供可乘之机假如因此被黑客攻击入侵网络运营者同样需要承担责任然而,来宾网警在工作中发现该市某医院对之前公安机关提出的安全漏洞整改要求却“整而不改”于是对这种不履行网络安全义务行为给予行政处罚 案件回顾 2024年4月在“两高一弱”网络安全隐患排查工作中来宾网警发现本地某医院
继续阅读影响全球数百万用户:主流路由器默认设置检出30个可利用漏洞
影响全球数百万用户:主流路由器默认设置检出30个可利用漏洞 安全客 2024-09-25 18:06 在当今数字化快速发展的时代,路由器已成为每个家庭的核心网络设备。随着物联网设备的普及,家庭网络的安全性显得尤为重要。然而,许多用户在设置路由器时并未重视安全配置,导致家庭网络面临潜在的安全威胁。 一项名为《默认暴露:家庭路由器默认设置的安全分析》的研究揭示了家庭路由器中普遍存在的漏洞,强调了其出厂
继续阅读第六期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示
第六期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-09-25 18:00 扫码添加运营助手获取参赛附件 ▽ 往期入选公布 入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第一期 入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二期 欢迎关注公众号 ▽
继续阅读【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击
【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击 奇安信集团 2024-09-25 17:49 【引言】 2024国家级攻防演练已告一段落。在此次趋于常态化的超长演练时间内,传统的断网、关停端口等临时措施已不再适用于防守企业的防御策略,而是更注重构建常态化的安全防御机制。在这一过程中,单一的安全产品已不足以快速应对更加复杂的威胁。因此 , 打破安全设备孤岛,促进设备间的协同工
继续阅读CISA:这个严重的 Ivanti vTM 漏洞已遭利用
CISA:这个严重的 Ivanti vTM 漏洞已遭利用 THN 代码卫士 2024-09-25 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 周二将影响 Ivanti Virtual Traffic Manager (vTM) 的一个严重漏洞纳入必修清单 (KEV)。 该漏洞是CVE-2024-7593,CVSS评分9.8,可被远程未认
继续阅读10个严重漏洞导致数千燃油储罐易受攻击
10个严重漏洞导致数千燃油储罐易受攻击 Jessica Lyons 代码卫士 2024-09-25 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 信息安全研究人员表示,由于多家厂商的自动液位计 (Automatic Tank Gauge, ATGs) 系统中存在漏洞,导致位于关键基础设施中的数万个燃油储罐易受 0day 攻击。 ATGs 用于监控存储罐中的燃油量并确保存储罐不会
继续阅读【漏洞通告】pgAdmin信息泄露漏洞(CVE-2024-9014)
【漏洞通告】pgAdmin信息泄露漏洞(CVE-2024-9014) 启明星辰安全简讯 2024-09-25 17:04 一、漏洞概述 漏洞名称 pgAdmin信息泄露漏洞 CVE ID CVE-2024-9014 漏洞类型 信息泄露 发现时间 2024-09-25 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野
继续阅读【漏洞通告】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
【漏洞通告】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323) 启明星辰安全简讯 2024-09-25 17:04 一、漏洞概述 漏洞名称 Apache HertzBeat SnakeYaml反序列化漏洞 CVE ID CVE-2024-42323 漏洞类型 反序列化 发现时间 2024-09-23 漏洞评分 8.8 漏洞等级 高危 攻击向量
继续阅读编写 iOS 内核漏洞利用的分步指南
编写 iOS 内核漏洞利用的分步指南 Ots安全 2024-09-25 15:39 介绍 iOS 漏洞利用一直让我着迷,但特别复杂的内核漏洞利用一直是我最感兴趣的。由于过去几年内核漏洞利用变得更加困难,发布的传统漏洞利用 (例如利用虚拟内存损坏漏洞的漏洞利用) 已经减少。然而,尽管如此,felix-pb还是以kfd的名义发布了三个漏洞利用。它们于 2023 年夏季首次发布,是第一个在 iOS 15
继续阅读CVE-2024-9014 (CVSS 9.9):pgAdmin 的严重漏洞使用户数据面临风险
CVE-2024-9014 (CVSS 9.9):pgAdmin 的严重漏洞使用户数据面临风险 Ots安全 2024-09-25 15:39 pgAdmin 是 PostgreSQL 数据库的领先开源管理工具,现已发布紧急安全更新,以解决影响 8.11 及更早版本的严重漏洞。此漏洞被标识为CVE-2024-9014,CVSS 评分为9.9,可能使攻击者能够通过 OAuth2 身份验证机制窃取用户数
继续阅读【漏洞预警】Apache Tomcat资源分配控制不当漏洞可致拒绝服务CVE-2024-38286
【漏洞预警】Apache Tomcat资源分配控制不当漏洞可致拒绝服务CVE-2024-38286 cexlife 飓风网络安全 2024-09-24 23:45 漏洞描述: Apache Tomcat 官方披露了一个拒绝服务漏洞,漏洞源于Apache Tomcat在某些配置下处理TLS握手过程的方式中存在安全缺陷,可能导致攻击者滥用TLS握手以过度消耗内存,从而因内存不足错误而导致拒绝服务。修复
继续阅读警惕 | 风险突出的100个高危漏洞
警惕 | 风险突出的100个高危漏洞 中国信息安全 2024-09-24 19:39 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造
继续阅读上周关注度较高的产品安全漏洞(20240916-20240922)
上周关注度较高的产品安全漏洞(20240916-20240922) 国家互联网应急中心CNCERT 2024-09-24 09:34 一、境外厂商产品漏洞 1、Adobe Animate越界读取漏洞(CNVD-2024-38541) Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe Animate存在越界读取漏洞,攻击者可利用该漏洞获取敏感信息。 参
继续阅读寻找IDOR漏洞:Key Endpoints and Resources
寻找IDOR漏洞:Key Endpoints and Resources 迪哥讲事 2024-09-23 23:12 寻找IDOR漏洞:Key Endpoints and Resources bugbounty笔记 知识星球优惠券放送 今天,在这篇文章中,我将分享一些常见的可以用来寻找IDOR漏洞的端点。我已经对这个主题进行了深入研究,并将分享一些优秀的资源库,这些资源库可以帮助你发现并利用IDO
继续阅读