月度归档: 2024 年 11 月

2023年最易被利用的漏洞

发布于 作者:

2023年最易被利用的漏洞 何威风 河南等级保护测评 2024-11-15 16:00 根据五眼情报联盟政府机构的数据,2023年最常被利用的漏洞大多最初都是以零日漏洞的形式被利用的。 一份汇总数据 的 咨询报告显示 ,与上一年相比 ,2023年利用零日漏洞攻击企业网络的情况显著增加。上一年,被利用的顶级漏洞中只有不到一半是以零日漏洞的形式被发现的。 数据显示,威胁行为者在漏洞公开披露后的两年内继

继续阅读

2024年网络安全漏洞研究人才培养交流活动成功举办

发布于 作者:

2024年网络安全漏洞研究人才培养交流活动成功举办 长亭科技 2024-11-15 14:00 2024年11月14日,由中国信息安全测评中心主办,中国信息产业商会信息安全产业分会承办的“网络安全漏洞研究人才培养交流活动”在北京国家会议中心成功举办。来自国家关键基础设施单位、社会漏洞联盟、安全企业、测评机构、高等院校等业界专家、学者、企业代表参会。 长亭科技为活动的成功举办提供了重要支持。 中国信

继续阅读

大语言语言模型安全攻击以及AI供应链漏洞

发布于 作者:

大语言语言模型安全攻击以及AI供应链漏洞 渊龙Sec安全团队 2024-11-15 11:28 01 简要说明 人工智能和人工智能的安全性正在以惊人的速度发展,AI模型供应链中使用的工具,用于构建机器学习模型,会使AI应用程序容易受到独特的安全威胁。 这些工具是开源的,这意味着它们开箱即用时可能存在漏洞,这些漏洞可直接导致完整的系统接管,例如未经身份验证的远程代码执行或本地文件包含。这意味着什么?

继续阅读

【漏洞分享】edu通杀 新中小学智慧校园信息管理系统 Upload 任意文件上传

发布于 作者:

【漏洞分享】edu通杀 新中小学智慧校园信息管理系统 Upload 任意文件上传 Undoubted Security 2024-11-15 11:00 前言 ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 ‍ ‍ ‍ ‍ ‍ fofa查询语句: body="/Login/IndexMobi" ‍利用脚本进行检测:

继续阅读

【漏洞复现】某平台-testdb-info-leak信息泄露漏洞

发布于 作者:

【漏洞复现】某平台-testdb-info-leak信息泄露漏洞 原创 南极熊 SCA御盾 2024-11-15 10:58 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接

继续阅读

(0day)微信公众号商家收银台小程序系统存在前台任意文件上传漏洞

发布于 作者:

(0day)微信公众号商家收银台小程序系统存在前台任意文件上传漏洞 原创 Mstir 星悦安全 2024-11-15 04:00 点击上方 蓝字关注我们 并设为 星标 0x00 前言 微信公众号程序,必须微信认证服务号,微信支付商家 客户扫码,打开商家定义支付页面,输入金额和对应定义信息,提交微信支付,实现快速付款 支持创建多个店铺,各个店铺自定义不同自定义表单。通过自定义表单实现订单自定义明细

继续阅读

代码审计-某oa任意文件读取(1day)

发布于 作者:

代码审计-某oa任意文件读取(1day) 安全洞察知识图谱 2024-11-15 00:30 本文首发于先知社区 https://xz.aliyun.com/t/16202 本人为原创作者 0x01 环境准备 拿到源码之后第一步看是源码是否全面,是否可以搭建起来,如果可以搭建起来就可以用断点调试的方法去调试代码,如果不能就得手动去把一些方法抽象出来,进行调试,我这次拿到的源码不够全面,所以就需要手

继续阅读

【漏洞预警】GitLab Kubernetes集群代理未授权访问漏洞(CVE-2024-9693)

发布于 作者:

【漏洞预警】GitLab Kubernetes集群代理未授权访问漏洞(CVE-2024-9693) cexlife 飓风网络安全 2024-11-14 21:33 漏洞描述: GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目,GitLab 社区版 (CE) 和企业版 (EE)中修复了一个未授权访问漏洞(CVE-2024-9693),其C

继续阅读

谷歌AI平台存在漏洞,可泄露企业的专有LLMs

发布于 作者:

谷歌AI平台存在漏洞,可泄露企业的专有LLMs 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞,它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。 Pal

继续阅读

FBI、CISA和NSA公布2023年利用最频繁的15个漏洞

发布于 作者:

FBI、CISA和NSA公布2023年利用最频繁的15个漏洞 Sergiu Gatlan 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FBI、NSA和五眼联盟的网络安全当局发布了2023年利用最频繁的15个漏洞清单。 周二,这些机构发布该清单,呼吁全球范围内的组织机构立即修复这些漏洞并不糊打补丁管理系统,将攻击风险降至最低。 这些机构提醒称,“

继续阅读

【SRC】未授权访问漏洞引发的惨案…….

发布于 作者:

【SRC】未授权访问漏洞引发的惨案……. 朱厌安全 2024-11-14 17:50 喜欢就关注我吧! 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 1前言 本文记录了最近的一次src漏洞挖掘,并成功

继续阅读

马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗?

发布于 作者:

马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗? 数世咨询 2024-11-14 16:01 自2022年底以来,随着生成式人工智能的兴起,网络安全领域遭遇了前所未有的挑战。仅在2023年,勒索软件的支付金额就飙升至超过11亿美元。 多款马自达汽车型号的信息娱乐系统存在漏洞,可能允许黑客以根权限执行任意代码,趋势科技的零日漏洞计划(ZDI)警告称。 ZDI 解释说,这些问题存在是因为马自达连

继续阅读

2023年被利用最多的15个漏洞

发布于 作者:

2023年被利用最多的15个漏洞 原创 再说安全 再说安全 2024-11-14 15:04 FBI、NSA 和五眼联盟网络安全机构于2024年11月12日联合发布了一份警示通报, 揭示了 2023 年最常被利用的 15 个漏洞,其中大多数最初都是以零日漏洞的形式被滥用。这凸显了网络攻击的复杂性和隐蔽性正日益增强,全球网络安全形势面临严峻挑战。 该机构警告称,与 2022 年相比,2023 年恶意

继续阅读

springboot环境下的写文件RCE

发布于 作者:

springboot环境下的写文件RCE 原创 珂字辈 珂技知识分享 2024-11-14 14:49 一、    java特性加载类文件 传统的ssh key/任务计划就不说了,介绍一下已经流行开来的几种java特性加载类文件。 1,charsets.jar LandGrey首发 https://landgrey.me/blog/22/复现过程 https://mp.weixin.qq.com/

继续阅读

Web版Java Payload生成与漏洞利用工具

发布于 作者:

Web版Java Payload生成与漏洞利用工具 Ar3h 潇湘信安 2024-11-14 14:40 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把 潇湘信安 “

继续阅读

以色列支付系统遭大规模网络攻击,全国加油站和商超一度瘫痪;Citrix录制管理器曝零日漏洞,未经验证即可实现远程代码执行 |牛览

发布于 作者:

以色列支付系统遭大规模网络攻击,全国加油站和商超一度瘫痪;Citrix录制管理器曝零日漏洞,未经验证即可实现远程代码执行 |牛览 安全牛 2024-11-14 12:07 点击蓝字·关注我们  /  aqniu 新闻速览 •NSA联合发布六项工业控制系统安全原则,强化关键基础设施防护 •MOVEit事件影响仍未平息,亚马逊、汇丰等巨头企业近500万员工信息或泄露 •以色列支付系统遭受大规模网络攻击

继续阅读

【海外SRC漏洞挖掘】参数FUZZ工具Bug修复+实战利用案例(任意用户接管)

发布于 作者:

【海外SRC漏洞挖掘】参数FUZZ工具Bug修复+实战利用案例(任意用户接管) 原创 fkalis fkalis 2024-11-14 11:17 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,骚姿势,又或者是苛刻环境的漏洞利用。

继续阅读

【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301

发布于 作者:

【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301 cexlife 飓风网络安全 2024-11-13 22:24 漏洞描述: Laravel是一个基于PHP的开源Web应用框架,它提供了一系列工具和特性,旨在简化Web应用程序的开发过程,Laravel中修复了一个环境变量注入漏洞(CVE-2024-52301),该漏洞的CVSS评分为8.7,Laravel框架受影响版

继续阅读

挖掘漏洞-小白到脚本小子的进阶之路(小脑篇)

发布于 作者:

挖掘漏洞-小白到脚本小子的进阶之路(小脑篇) 原创 小白 吉吉说安全 2024-11-13 22:13 书接上篇,小白如何挖掘属于自己的第一个漏洞(无脑篇) ,在这篇文章中我们讲解了小白🥬怎么挖掘漏洞,这个方法很简单但是有个致命的缺点就是 无法在自己 喜欢的妹子面前 装逼, 无法在室友面前 炫耀,这样子 失去了原本的味道,变得黯然无味,那 这篇文章的意义就在于用 炫酷的脚本装一个 大逼,非常的有意

继续阅读

全球警报:零日漏洞攻击激增,网络安全新挑战来袭!

发布于 作者:

全球警报:零日漏洞攻击激增,网络安全新挑战来袭! 安全内参 泛安全 2024-11-13 21:33 11月13日消息,美国、英国、澳大利亚、加拿大和新西兰等五眼联盟国家的网络安全机构12日联合发布警告,称黑客正在日益频繁地利用零日漏洞入侵目标网络。 与2021年、2022年发布的同类公告相比,此次警告有明显不同。此前,这些机构警告称,恶意网络攻击者更常利用旧软件的已知漏洞,而不是新披露的漏洞。

继续阅读

【漏洞通告】微软11月多个安全漏洞

发布于 作者:

【漏洞通告】微软11月多个安全漏洞 网安百色 2024-11-13 19:28 点击上方 蓝字 关注我们吧~ 一、漏洞概述 2024年11月13日,启明星辰集团VSRC监测到微软发布了11月安全更新,本次更新共修复了91个漏洞(不包括之前修复的Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中修复了4个0 day漏

继续阅读

nacos身份绕过漏洞

发布于 作者:

nacos身份绕过漏洞 原创 剑豪321 网络安全学习爱好者 2024-11-13 18:54 漏洞描述 Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。 Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过

继续阅读

2024-11微软漏洞通告

发布于 作者:

2024-11微软漏洞通告 火绒安全 火绒安全 2024-11-13 18:02 微软官方发布了2024年11月的安全更新。 本月更新公布了425个漏洞, 包含52个远程执行代码漏洞、28个特权提升漏洞、4个拒绝服务漏洞、3个身份假冒漏洞、2个安全功能绕过漏洞、1个信息泄露漏洞、1个深度防御漏洞,其中4个漏洞级别为“Critical”(高危),85个为“Important”(严重)。建议用户及时使

继续阅读

多国警告:零日漏洞攻击暴涨已成为网空新常态

发布于 作者:

多国警告:零日漏洞攻击暴涨已成为网空新常态 安全内参编译 安全内参 2024-11-13 17:52 关注我们 带你读懂网络安全 五眼联盟国家的网络安全机构联合发布报告,公布了2023年最常被利用的漏洞清单,其中Top 15漏洞中有12个为年内披露并修复,这与前几年的态势已经完全不同。 前情回顾·零日漏洞层出不穷 – Telegram零日漏洞被售卖数周:恶意APK文件可伪装成视频消息

继续阅读

微软11月补丁星期二值得关注的漏洞

发布于 作者:

微软11月补丁星期二值得关注的漏洞 综合编译 代码卫士 2024-11-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在本月补丁星期二中修复了91个漏洞,含四个0day漏洞,其中两个正遭活跃利用。 微软本次修复的漏洞如下: 26个提权漏洞 2个安全特性绕过漏洞 52个远程代码执行漏洞 1个信息泄露漏洞 4个拒绝服务漏洞 3个欺骗漏洞 此外,微软还在11月7日修复了两个

继续阅读