如何从IIS欢迎页面中快速挖掘漏洞
如何从IIS欢迎页面中快速挖掘漏洞 原创 骨哥说事 骨哥说事 2024-10-31 23:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/3567 **不想错过任何消息?设置星标↓ ↓ ↓ 信息收集 Google
继续阅读月度归档: 2024 年 11 月
【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923
【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: ServiceNow发布安全公告,修复了2个安全漏洞,其中包括一个代码注入漏洞,此漏洞可能允许未认证的用户在Now Platform 的上下文中执行任意代码,或检索敏感信息,鉴于今年早期有利用ServiceNow Now
继续阅读【漏洞预警】QNAP SMB Service安全缺陷漏洞可致远程代码执行
【漏洞预警】QNAP SMB Service安全缺陷漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: QNAP的SMB服务中的一个关键零日漏洞控制了QNAP TS-464 NAS设备,QNAP在漏洞被发现后迅速做出响应,已发布更新以解决漏洞,由于QNAP 设备漏洞多次在勒索软件攻击中被使用,建议受影响用户及时采取安全防护措施。修复建议:正式防护方案:
继续阅读【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞
【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述:DrayTek Vigor2960路由器版本1.4.4中存在一个需授权的命令注入漏洞漏洞细节及Poc当前已经公开,攻击者可以在cgi-bin/mainfunction.cgi路由中的doPPPoE函数的table参数中放置恶意命令,可能导致设备被完全接
继续阅读【漏洞情报】Vmware Spring Security访问控制不当漏洞
【漏洞情报】Vmware Spring Security访问控制不当漏洞 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述:VMware发布安全公告,其中公开了一个Spring Security中的访问控制不当漏洞,在某些情况下Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时可以绕过对静态资源具有Spring Security授权
继续阅读「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞
「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-10-31 20:54 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读谷歌修复由苹果报送的严重 Chrome 漏洞
谷歌修复由苹果报送的严重 Chrome 漏洞 Eduard Kovacs 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌和 Mozilla 宣布为 Chrome 和 Firefox web 浏览器发布安全更新,其中一些漏洞为严重级别。 谷歌发布 Chrome 130,修复了两个漏洞。其中一个漏洞是CVE-2024-10487,是位于
继续阅读Opera 浏览器修复严重漏洞,可泄露用户信息
Opera 浏览器修复严重漏洞,可泄露用户信息 THN 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Opera web 浏览器修复了一个漏洞,可导致恶意扩展获得对私密API的完全越权访问权限。 Guardio Labs 提到,该攻击名为CrossBarking,可截屏、修改浏览器设备以及账户劫持。为演示该问题,该公司表示已在 Chrome We
继续阅读「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索
「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索 原创 深蓝洞察 DARKNAVY 2024-10-31 18:03 2024 年9月24日,OpenAI的CEO Sam Altman发表文章《The Intelligence Age》,大胆地宣告了AI时代的到来。 给予文章强有力支撑的是ChatGPT-o1的发布,这是一次里程碑式的事件,在深度学习的加成下,大模型如虎添翼,表现强劲。
继续阅读【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-31 17:54 漏洞名称: Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 组件名称: 威睿-Spring Security 影响范围: Spring Security ≤ 5.7.125.8.0 ≤
继续阅读