AI代码审计和POC编写
AI代码审计和POC编写 原创 道玄安全 道玄网安驿站 2024-11-16 15:25 “ AI做代码审计和POC编写真好使” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞
继续阅读月度归档: 2024 年 11 月
Fckeditor编辑器漏洞汇集
Fckeditor编辑器漏洞汇集 原创 simeon的文章 小兵搞安全 2024-11-16 13:37 1.1Fckeditor简介 FCKeditor(现在通常称为CKEditor)是一个开源的、基于JavaScript的内容编辑器。它最初由Frederico Caldeira Knabben开发,并于2003年首次发布。CKEditor旨在使Web开发者能够在其网站上添加富文本编辑功能,用户
继续阅读phpstudy_2016-2018_rce 漏洞复现
phpstudy_2016-2018_rce 漏洞复现 Sword 网络安全学习爱好者 2024-11-16 10:41 漏洞描述 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute) Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmi
继续阅读【漏洞预警】易思智能物流无人值守系统SQL注入
【漏洞预警】易思智能物流无人值守系统SQL注入 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情
继续阅读【漏洞预警】 用友BIP 数据库配置信息泄露
【漏洞预警】 用友BIP 数据库配置信息泄露 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报
继续阅读【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞
【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责
继续阅读PostgreSQL数据库存在高危漏洞CVE-2024-10979(8.8)
PostgreSQL数据库存在高危漏洞CVE-2024-10979(8.8) 独眼情报 2024-11-16 08:41 PostgreSQL发现严重安全漏洞,可能导致数据泄露和系统被入侵 Varonis安全研究团队的Tal Peleg和Coby Abrams发现了一个影响广泛使用的开源数据库系统PostgreSQL的高危漏洞。该漏洞被编号为CVE-2024-10979,可能会威胁到全球众多数据库
继续阅读CVE-2024-28888:福昕阅读器中使用释放后导致远程代码执行
CVE-2024-28888:福昕阅读器中使用释放后导致远程代码执行 Ots安全 2024-11-16 07:02 网址 – https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-1967 目标 – 福昕PDF编辑器版本:2024.X(含)~2024.2.3.25184(含)(Windows)
继续阅读【安全圈】俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day 漏洞攻击乌克兰目标
【安全圈】俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day 漏洞攻击乌克兰目标 安全圈 2024-11-16 06:34 关键词 漏洞 网络安全公司 ClearSky 警告称,Windows 中一个新修补的 day 漏洞 可通过用户最少的交互(例如删除文件或右键单击文件)被利用。 该0day漏洞编号为 CVE-2024-43451,是一个中等严重程度的漏洞,会影响 MSHTM 引
继续阅读(0day)某全新UI自助打印微信小程序系统SQL+RCE漏洞代码审计
(0day)某全新UI自助打印微信小程序系统SQL+RCE漏洞代码审计 原创 Mstir 星悦安全 2024-11-16 04:37 点击上方 蓝字关注我们 并设为 星标 0x00 前言 在数字化时代,打印服务的需求与日俱增。为了满足用户的便利需求,全新UI的自助打印系统/云打印小程序。 全新UI设计:采用2024年最新的UI设计风格,界面简洁美观,用户体验极佳。 云打印功能:支持用户通过小程序上
继续阅读攻防演练 | 一次近源渗透
攻防演练 | 一次近源渗透 原创 zkaq -Alan 掌控安全EDU 2024-11-16 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – zkaq -Alan 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1.XX博物馆 因为这次比赛有近源攻击,刚好资产上面有这个博物馆,因为信息太少没被打穿,就打车去近源攻击碰
继续阅读Palo Alto Networks 确认存在新的防火墙0day漏洞
Palo Alto Networks 确认存在新的防火墙0day漏洞 会杀毒的单反狗 军哥网络安全读报 2024-11-16 01:02 导读 在告知客户正在调查有关新的防火墙远程代码执行漏洞后,Palo Alto Networks 于周五证实,一种新的 0day 漏洞正被用于攻击。 Palo Alto Networks于 11 月 8 日发布了一份公告( https://security.pal
继续阅读Vcenter图形化漏洞利用工具
Vcenter图形化漏洞利用工具 黑白之道 2024-11-16 01:01 1► 工具介绍 当前支持以下漏洞的检测,利用、命令执行还没写内容 CVE-2021-22005 CVE-2021-21972 CVE-2021-21985 年初学习java时写了一个带命令执行和上传文件的,一直没什么机会用,本来不打算继续写的。 结果前段时间公司内部搞红蓝,还碰到了不少低版本的,命令行的有时候又很麻烦,还
继续阅读VulToolsKit一把梭漏洞Exploit合集
VulToolsKit一把梭漏洞Exploit合集 原创 白帽学子 白帽学子 2024-11-16 00:11 最近工作上需要做一些网络安全漏洞利用的测试,以确保公司系统的安全性。在这个过程中,我发现了一个很实用的开源网络安全工具合集——VulToolsKit V1.1。 这个工具合集包含了各种综合漏洞利用工具,涵盖了海康威视、大华、Nacos、Vcenter等多种系统,并且还有针对Fastjso
继续阅读漏洞预警 | XStream栈溢出漏洞
漏洞预警 | XStream栈溢出漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – CVE-2024-47072 0x01 危险等级 – 高危 0x02 漏洞概述 XStream是一个用于在Java对象和XML之间相互转换的工具,它能够将Java对象序列化为XML或JSON格式,也可以将XML或JSON格式的数据反序列化为Java对象,从而简化
继续阅读漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞
漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – # CVE-2024-42509 0x01 危险等级 – 高危 0x02 漏洞概述 HPE Aruba Networking Access Points是HPE旗下的Aruba Networking推出的一
继续阅读漏洞预警 | Apache ZooKeeper身份验证绕过漏洞
漏洞预警 | Apache ZooKeeper身份验证绕过漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – # CVE-2024-51504 0x01 危险等级 – 高危 0x02 漏洞概述 Apache ZooKeeper是由集群使用的一种服务,用于在自身之间协调,并通过稳健的同步技术维护共享数据。 0x03 漏洞详情 CVE-2024-51
继续阅读【漏洞复现】用友YonBIP高级版存在任意文件读取漏洞
【漏洞复现】用友YonBIP高级版存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-11-16 00:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 YonBIP用友商业创新平台,是用友在数字经济时代面向成长型、大型企业及巨型企业,融合了先进且高可用技术平台和公共与关键商业应用与服务,支撑和运行客户的商业创新(业务创新、
继续阅读两个Google Vertex AI平台漏洞曝光:可能导致权限提升与敏感数据外泄
两个Google Vertex AI平台漏洞曝光:可能导致权限提升与敏感数据外泄 锋刃科技 2024-11-15 23:56 近日,网络安全研究人员曝光了Google Vertex AI平台中的两个严重漏洞,如果被成功利用,攻击者可能通过这些漏洞提升权限并将存储在云端的机器学习模型(ML模型)和人工智能应用程序的数据外泄。 通过这两个漏洞,攻击者能够绕过正常的安全机制,获取对Google云端资源的
继续阅读compiler explorer 轻松从汇编角度理解代码
compiler explorer 轻松从汇编角度理解代码 进击的HACK 2024-11-15 23:55 介绍 compiler explorer 是一个交互式编译探索网站。用C、c++、c#、f#、Rust、Go、D、Haskell、Swift、Pascal、ispc、Python、Java或其他30多种支持的语言组件编辑代码,并查看代码在实时编译后的样子。 声明:文中所涉及的技术、思路和工
继续阅读用友漏洞一键探测利用
用友漏洞一键探测利用 信安404 2024-11-15 23:53 点击上方 蓝字关注我们 免责声明 ❝ 本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。 介绍 用友漏洞一键探测利用。 项目地址;https://github.com/Chave0v0/YONYOU-TOOL 有release 开源 支持漏洞 ActionHandlerServlet 反
继续阅读【漏洞预警】D-Link-DNS 多款产品未公开接口/sc_mgr.cgi 存在远程命令执行漏洞
【漏洞预警】D-Link-DNS 多款产品未公开接口/sc_mgr.cgi 存在远程命令执行漏洞 thelostworld 2024-11-15 20:24 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与
继续阅读【安全圈】打补丁要快!0Day漏洞正在被黑客广泛利用
【安全圈】打补丁要快!0Day漏洞正在被黑客广泛利用 安全圈 2024-11-15 19:00 关键词 零日漏洞 近日,美国、英国、加拿大、澳大利亚和新西兰(五眼联盟)网络安全机构联合发布了报告,公布了2023年最常被利用的漏洞清单。其中,零日漏洞已经成为黑客最常利用的漏洞类型。 该警告强调,攻击者们正越来越多地利用零日漏洞入侵企业,与2022年相比,零日漏洞利用的有所增长。 与前几年旧的、未修补
继续阅读LLM大模型安全(4)- 供应链漏洞
LLM大模型安全(4)- 供应链漏洞 原创 比心皮卡丘 暴暴的皮卡丘 2024-11-15 18:08 本篇为大模型系列第四篇,讲述供应链漏洞;涉及较广,包含代码三方组件,云基础K8S、模型库等等,在本文最后章节介绍了目前真实应用的漏洞案例。 LLM系列前三篇 LLM大模型安全(1)-快速注入&不安全输出处理 LLM大模型安全(2)-训练数据投毒攻击 LLM大模型安全(3)- 模型DOS攻
继续阅读【Pikachu】PHP反序列化RCE实战
【Pikachu】PHP反序列化RCE实战 原创 儒道易行 儒道易行 2024-11-15 18:00 痛是你活着的证明 1.PHP反序列化概述 在理解 PHP 中 serialize() 和 unserialize() 这两个函数的工作原理之前,我们需要先了解它们各自的功能及其潜在的安全隐患。接下来,我会对相关概念做更详细的扩展解释。 1. 序列化 serialize() 序列化(seriali
继续阅读BlockSec和OKX Explorer达成合作,携手提升链上数据安全与合规等级
BlockSec和OKX Explorer达成合作,携手提升链上数据安全与合规等级 原创 BlockSec BlockSec 2024-11-15 17:58 我们非常开心地宣布BlockSec与OKX Explorer达成全方位战略合作! 此次合作将聚焦 区块链信息协同、产品集成以及API互通 等方面 ,双方将通过深 度整合各自的优势产品,包括BlockSec旗下的资金流追踪与调查平台MetaS
继续阅读PostgreSQL 高危漏洞可导致环境变量被利用
PostgreSQL 高危漏洞可导致环境变量被利用 THN 代码卫士 2024-11-15 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞,它可导致低权限用户修改环境变量,并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979,CVSS评分8.8。 环境变量是指用户定义的值,它们
继续阅读【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新
【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新 奇安信 CERT 2024-11-15 16:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-1
继续阅读微软2024年11月份于周二补丁日针对90漏洞发布安全补丁
微软2024年11月份于周二补丁日针对90漏洞发布安全补丁 何威风 河南等级保护测评 2024-11-15 16:00 微软周二透露,影响 Windows NT LAN 管理器 ( NTLM ) 和任务计划程序的两个安全漏洞已被广泛利用。 – 52 个远程代码执行 (RCE) 漏洞 :这些漏洞允许攻击者在易受攻击的系统上远程执行任意代码。 26 特权提升 (EoP) 漏洞 :这些漏
继续阅读