漏洞复现 || 苹果IOS端IPA签名工具Sign.php接口存在任意命令执行
漏洞复现 || 苹果IOS端IPA签名工具Sign.php接口存在任意命令执行 韩文庚 我爱林 2024-11-11 21:21 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均
继续阅读月度归档: 2024 年 11 月
从上传到入侵:揭秘文件上传漏洞的操作原理
从上传到入侵:揭秘文件上传漏洞的操作原理 原创 VlangCN HW安全之路 2024-11-11 21:20 大家好,今天我们来聊一个”老而弥坚”的漏洞类型 —— 文件上传漏洞。虽然这个漏洞存在很多年了,但直到现在依然频频出现在各种漏洞报告中。今天我们就来深入了解一下它的原理和各种校验方式。 上传过程中到底发生了什么? 说到文件上传,很多人可能觉得不就是选个文件,点击上传
继续阅读网络犯罪分子使用 Excel 漏洞来传播无文件 Remcos RAT 恶意软件
网络犯罪分子使用 Excel 漏洞来传播无文件 Remcos RAT 恶意软件 信息安全大事件 2024-11-11 20:17 网络安全研究人员发现了一种新的网络钓鱼活动,该活动传播了一种名为 Remcos RAT 的已知商业恶意软件的新无文件变体。 Remcos RAT“为购买提供广泛的高级功能,以远程控制属于买家的计算机,”Fortinet FortiGuard Labs 研究员 Xiao
继续阅读综合信息收集、漏洞扫描工具 – ScopeSentry
综合信息收集、漏洞扫描工具 – ScopeSentry GSDK安全团队 2024-11-11 19:53 01 项目地址 https://github.com/Autumn-27/ScopeSentry 02 项目介绍 Scope Sentry是一款具有资产测绘、子域名枚举、信息泄露检测、漏洞扫描、目录扫描、子域名接管、爬虫、页面监控功能的工具,通过构建多个节点,自由选择节点运行扫
继续阅读马自达汽车因这些未修复的漏洞极易遭黑客攻击
马自达汽车因这些未修复的漏洞极易遭黑客攻击 原创 hackerson 黑客联盟l 2024-11-11 19:51 趋势科技的零日漏洞倡议组织(ZDI)披露,多款马自达汽车车型的信息娱乐系统存在可能导致代码执行的漏洞。 趋势科技的零日漏洞倡议组织(ZDI)警告称,多款马自达汽车车型信息娱乐系统中的漏洞可能会让攻击者以根权限执行任意代码。 ZDI 解释说,出现这些问题是因为马自达连接主控单元(CMU
继续阅读未修补的漏洞允许黑客攻击马自达汽车
未修补的漏洞允许黑客攻击马自达汽车 网安百色 2024-11-11 19:30 点击上方 蓝字 关注我们吧~ Trend Micro 的 Zero Day Initiative (ZDI) 警告说,多款马自达车型的信息娱乐系统中存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释说,这些问题的存在是因为 Mazda Connect 连接主控单元 (CMU) 系统没有正确清理用户提
继续阅读马自达爆出安全漏洞,影响旗下多款车型
马自达爆出安全漏洞,影响旗下多款车型 赛博研究院 赛博研究院 2024-11-11 19:25 趋势科技安全研究员披露,马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit0)存在高危安全漏洞,威胁攻击者可利用漏洞非法获得Root权限,并执行任意代码。 据悉,安全漏洞涉及系统版本为74.00.324A的车机,主要影响马自达3(2014-2021年款)
继续阅读Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞
Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞 Sergiu Gatlan 代码卫士 2024-11-11 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Palo Alto Networks 提醒客户称,应限制对下一代防火墙的访问权限,因为PAN-OS 管理接口中可能存在一个远程代码执行漏洞。 Palo Alto Networks 公司
继续阅读D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备
D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备 Bill Toulas 代码卫士 2024-11-11 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 超过6万台已达生命周期的 D-Link NAS 设备易受命令注入漏洞 (CVE-2024-10914) 影响且利用已公开。 该漏洞的CVSS评分为9.2,位于 “cgi_user_add” 命令中,因该名称参数的
继续阅读【入门篇】Android漏洞挖掘,实战演示挖掘技巧
【入门篇】Android漏洞挖掘,实战演示挖掘技巧 釉子 看雪学苑 2024-11-11 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌握
继续阅读为什么AI开发者必须拥抱漏洞研究与透明度?
为什么AI开发者必须拥抱漏洞研究与透明度? 安全客 2024-11-11 14:36 在AI技术飞速发展的今天,安全问题成为行业面临的重大挑战。谷歌云的研究员Phil Venables在其文章《为什么AI供应商应共享漏洞研究》中,深刻探讨了漏洞研究和透明度对于AI开发者的重要性。他指出, 随着AI技术日益融入到各行各业,确保其安全性变得尤为紧迫。为了建立一个更加安全、可信的AI生态系统,开发者必须
继续阅读苹果IOS端IPA签名工具Sign.php接口存在任意命令执行漏洞 附POC
苹果IOS端IPA签名工具Sign.php接口存在任意命令执行漏洞 附POC 2024-11-10更新 南风漏洞复现文库 2024-11-10 23:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 苹果IOS端IPA签名工具简介
继续阅读一次通过Fuzz API发现漏洞的旅程
一次通过Fuzz API发现漏洞的旅程 迪哥讲事 2024-11-10 22:25 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: – 重置电子邮件获取
继续阅读某订货系统文件上传漏洞分析
某订货系统文件上传漏洞分析 中铁13层打工人 Z2O安全攻防 2024-11-10 20:30 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读Apache ActiveMQ RCE漏洞(CVE-2023-46604)复现
Apache ActiveMQ RCE漏洞(CVE-2023-46604)复现 原创 剑豪321 网络安全学习爱好者 2024-11-10 19:18 一、Apache ActiveMQ简介 Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Messag
继续阅读「漏洞复现」某融信运维安全审计系统 download 任意文件读取漏洞
「漏洞复现」某融信运维安全审计系统 download 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-10 16:40 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文
继续阅读马自达被曝存在多个漏洞,黑客可执行任意代码
马自达被曝存在多个漏洞,黑客可执行任意代码 FreeBuf 商密君 2024-11-10 16:06 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码
快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码 内生安全联盟 2024-11-10 15:57 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读【漏洞复现】蓝凌OA hrStaffWebService任意文件读取漏洞
【漏洞复现】蓝凌OA hrStaffWebService任意文件读取漏洞 混子Hacker 混子Hacker 2024-11-09 22:30 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 一切都是最好的安排,一定要学会忍耐 —— 蓝
继续阅读【漏洞复现】宏景人力资源信息管理系统uploadLogo任意文件上传
【漏洞复现】宏景人力资源信息管理系统uploadLogo任意文件上传 混子Hacker 混子Hacker 2024-11-09 22:30 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 即使阿迪克斯 达芬喝得烂醉如泥,不像某些人在神智最
继续阅读1day | 网神SecGate3600-A1500会话鉴权逻辑漏洞
1day | 网神SecGate3600-A1500会话鉴权逻辑漏洞 原创 土拨鼠 土拨鼠的安全屋 2024-11-09 20:57 漏洞描述 网神SecGate3600-A1500会话鉴权逻辑存在问题导致,登录绕过获取管理员权限。 漏洞利用 POST /cgi-bin/authUser/authManageSet.cgi HTTP/1.1 Host: User-Agent: Mozilla/5.
继续阅读Web常见漏洞合集,420页Web应用安全权威指南(附PDF)
Web常见漏洞合集,420页Web应用安全权威指南(附PDF) 点击关注👉 马哥网络安全 2024-11-09 17:02 点击上方 蓝字 ,后台回复 【 合集 】 获取 网安资源 互联网架构本身的特点,决定了web安全不再只是通过防火墙、防病毒软件和安全补丁就能完成的任务,而是涉及到开发人员,安全管理人员以及整个企业的所有部门乃至网上所有用户的巨大项目。因此如何确保web应用的安全已成为政府、企
继续阅读某蓝星抖音快手微商城RCE漏洞审计
某蓝星抖音快手微商城RCE漏洞审计 实战安全研究 2024-11-09 15:48 0x00 前言 **微商城系统,是一种小型电子商务系统。该系统融合了社交媒体的互动性和网络商城的交易功能,为商家提供了一个集商品展示、在线交易、营销推广、用户管理、数据分析等功能于一体的综合性电商平台。系统充分利用了微信的社交属性和广泛的用户基础,通过微信公众号或小程序等形式,为商家搭建起一个便捷的在线商城。用户无
继续阅读万户 ezOFFICE SignatureEditFrm.jsp SQL注入漏洞
万户 ezOFFICE SignatureEditFrm.jsp SQL注入漏洞 Superhero Nday Poc 2024-11-09 15:28 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读【必刷靶场】JavaSecLab-Java漏洞平台
【必刷靶场】JavaSecLab-Java漏洞平台 ChinaRan404 知攻善防实验室 2024-11-09 15:18 docker搭建: git clone https://github.com/whgojp/JavaSecLab.git3 mvn clean package -DskipTests docker-compose -p javaseclab up -d 如因网络问题,doc
继续阅读FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞;诺基亚被黑客攻击泄露大量数据
FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞;诺基亚被黑客攻击泄露大量数据 Zicheng FreeBuf 2024-11-09 14:53 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 重大突破,谷歌AI大模型首次找到0Day漏洞 谷歌公司日前表示,旗下一款
继续阅读黑客称他们利用反作弊漏洞封禁了“数千名”《使命召唤》玩家
黑客称他们利用反作弊漏洞封禁了“数千名”《使命召唤》玩家 独眼情报 2024-11-09 14:23 十月份,视频游戏巨头动视宣布已经修复了反作弊系统的一个漏洞,该漏洞影响了“少数合法玩家账户”,这些账户因此遭到封禁。 事实上,据发现并利用该漏洞的黑客称,他们能够封禁“成千上万”的《使命召唤》玩家,而他们基本上把这些玩家定性为作弊者。这位自称 Vizor 的黑客向作者 透露了这一漏洞,并讲述了他们
继续阅读近期暗网0day售卖情报与预警
近期暗网0day售卖情报与预警 独眼情报 2024-11-09 14:23 CloudPane疑似存在0day预授权RCE 查看poc需要资金证明,卖家接受担保交易。 卡西欧发布公告:疑似存在信息泄露事件 香港专业投资者和私人股东的数据疑似存在泄露 泄露日期: 2024年10月 泄露数据字段: Fullname + DOB + Email + Mobile + ID + Phone # + Fu
继续阅读德国起草法律保护 IT 白帽黑客:发现并上报软件漏洞不用承担刑事责任
德国起草法律保护 IT 白帽黑客:发现并上报软件漏洞不用承担刑事责任 黑白之道 2024-11-09 14:22 11 月 7 日消息,德国联邦司法部 11 月 4 日发布了一项计算机刑法草案,旨在明确 IT 安全研究人员“白帽黑客”的某些行为不会受到计算机刑法的惩罚。“ 任何想要检测并弥补 IT 安全漏洞的人都不应该面临刑事责任的风险。” 德国联邦司法部长 Dr. Marco Buschmann
继续阅读[含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞
[含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 原创 漏洞预警机器人 安全光圈 2024-11-09 14:16 [含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者
继续阅读