渗透测试高频面试题分享
渗透测试高频面试题分享 游不动的小鱼丶 安全洞察知识图谱 2024-11-29 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1工具介绍 1、TCP与UDP区别总结? TCP面向连接(如打电话要先拨号建立连接
继续阅读月度归档: 2024 年 11 月
漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞
漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 辰信景云终端安全管理系统通过统一的安全管理平台,整合多种终端防护技术,覆盖终端资产管理、病毒防护、补丁修复、安全审计等功能,全面保护企业的终端设备免受安全威胁。 0x03 漏洞详情 漏洞类
继续阅读漏洞预警 | 任我行协同CRM普及版SQL注入漏洞
漏洞预警 | 任我行协同CRM普及版SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任我行协同CRM普及版是由成都市任我行信息技术有限公司开发的一款客户关系管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 任我行协同CRM普及版的
继续阅读漏洞预警 | TamronOS IPTV系统任意用户创建漏洞
漏洞预警 | TamronOS IPTV系统任意用户创建漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 TamronOS IPTV系统是一款基于Linux内核开发的直播和点播一体化解决方案,广泛应用于宽带运营商、酒店、学校等场景。 0x03 漏洞详情 漏洞类型: 任意用户创建 影响:
继续阅读构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分)
构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分) haidragon 安全狗的自我修养 2024-11-28 23:12 介绍 每个红队成员都有他们最喜欢的工具集,但有时当它们都没有完全满足你的需求时,你会碰壁。这就是我在处理基于浏览器的攻击时发现自己遇到的情况,尤其是围绕 XSS 利用的攻击。有很好的工具可以查找 XSS 漏洞,但我想要一些可以快速、动态和交互式地显示影响
继续阅读【0Day】圣乔ERP系统name*存在SQL注入漏洞
【0Day】圣乔ERP系统name*存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-28 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 *圣乔 ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资源的优化配置和高效利用。该系统集成了财务
继续阅读Nacos2.4.3新版漏洞利用方式总结
Nacos2.4.3新版漏洞利用方式总结 船山信安 2024-11-28 16:37 ilter分析寻找未授权接口 HttpRequestContextFilter 获取请求头信息, AuthFilter 获取uri,token,权限控制 ParamCheckerFilter 处理参数,过滤恶意字符 AuthFilter, 请求头如果存在jwt秘钥,那么就进入下个filter, 如果配置了naco
继续阅读万能门店小程序管理系统_requestPost接口存在任意文件读取漏洞 附POC
万能门店小程序管理系统_requestPost接口存在任意文件读取漏洞 附POC 2024-11-28更新 南风漏洞复现文库 2024-11-28 15:29 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万能门店小程序管理系统简介
继续阅读漏洞推送|万能门店小程序管理系统 requestPost存在任意文件读取漏洞
漏洞推送|万能门店小程序管理系统 requestPost存在任意文件读取漏洞 小白菜安全 小白菜安全 2024-11-28 14:07 漏洞描述 万能门店小程序管理系统 requestPost存在任意文件读取漏洞,攻击者可以利用此漏洞获取系统敏感信息。 资产信息 fofa:body=”/com/css/head_foot.css” || body=”/com/c
继续阅读Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305)
Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305) Superhero nday POC 2024-11-28 13:48 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行
继续阅读必应主站www.bing.com惊现蠕虫XSS漏洞
必应主站www.bing.com惊现蠕虫XSS漏洞 原创 一个不正经的黑客 一个不正经的黑客 2024-11-28 13:31 必应主站www.bing.com惊现蠕虫XSS漏洞 研究计划 我的主要目标是识别微软某一Web产品中的XSS漏洞,这一漏洞可能被利用,通过向将受害域列为允许来源的应用程序发送请求,从而对其他微软应用程序发起攻击。 一个有效的侦察方法是对多个微软应用程序中允许的域名及其子域
继续阅读【工具推荐】springboot打点工具,内置目前springboot所有漏洞
【工具推荐】springboot打点工具,内置目前springboot所有漏洞 wh1t3zer Z2O安全攻防 2024-11-28 13:28 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习
继续阅读利用gitRepo卷在Node上RCE(CVE-2024-10220)
利用gitRepo卷在Node上RCE(CVE-2024-10220) 原创 李坦然 安全小将李坦然 2024-11-28 13:18 1 背景 在 Kubernetes 中,gitRepo 卷驱动允许用户通过 URL 指定一个 Git 仓库,Kubelet 会克隆该仓库,并将其内容挂载到 Pod 中。该驱动早已被标记为废弃 (死缓,一直未移除),但仍然存在于 Kubernetes 的默认安装中。
继续阅读【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327)
【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327) cexlife 飓风网络安全 2024-11-28 13:17 漏洞描述: Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等,Zabbix中修复了一个SQL注入漏洞(CVE-2024-42327),该漏洞的CVSS评分为9.9,Zabbix前端的C
继续阅读新书发售抢先看:《Web漏洞分析与防范实战(卷1)》
新书发售抢先看:《Web漏洞分析与防范实战(卷1)》 知道创宇404实验室 2024-11-28 11:26 1 文末有赠书福利~ ” 在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 每年,W
继续阅读漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477
漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477 永恒之锋实验室 Eonian Sharp 2024-11-28 10:50 1 漏洞描述 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zs
继续阅读漏洞盒子 x 汽车之家SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子 x 汽车之家SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 漏洞盒子 2024-11-28 10:33 滴嘟滴嘟——! 挖蛙含泪提醒: 天气进入速冻模式,家人们多添衣服注意保暖! 但在这个冬日,又迎来了温暖人心的消息 新伙伴汽车之家SRC入驻盒子平台啦! 现在正诚邀广大白帽反馈漏洞, 为安全加足马力! 来不及了,快上车! 01 关于汽车之家 中国领先汽车垂直网站 汽车之家成立于200
继续阅读知名压缩软件被曝严重漏洞,谁会成为受害者?
知名压缩软件被曝严重漏洞,谁会成为受害者? 奇安信集团 2024-11-28 10:08 近日,主流文件压缩工具7-Zip被曝存在一个严重安全漏洞,攻击者可以利用该漏洞在当前进程上下文执行代码,可能导致攻击者获取与登录用户相同的访问权限,实现完全的系统绕过。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 目前,7-Zip已在24.07版本中修
继续阅读【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327)
【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-28 10:01 漏洞名称: Zabbix 服务器sql注入漏洞 (CVE-2024-42327) 组件名称: Zabbix 影响范围: 6.0.0 ≤ Zabbix < 6.0.32rc16.4.0 ≤ Zabbix < 6.4.17rc1Zabb
继续阅读史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元
史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元 安全内参编译 安全内参 2024-11-28 09:58 关注我们 带你读懂网络安全 Uniswap Labs声称这将是“史上最高的漏洞赏金”,目前有记录的单个漏洞最高赏金记录是Web3漏洞赏金平台Immunefi声称支付的1.07亿元。 前情回顾·漏洞奖励计划动态 – 微软2024财年发放了约1.2亿元漏洞赏金:平均每个漏洞8.6
继续阅读开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC
开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC 原创 棉花糖糖糖 棉花糖fans 2024-11-28 09:55 编者荐语: 新开的号,以后新闻、情报乱七八糟的将会在新号发,还会再开一个工具号专门发工具,fans这个号将只用来给大家分享一些娱乐向的内容 CVE-2024-11680 CVE-2024-11680 根据VulnCheck的报告,开源文件共享应用程序Pro
继续阅读黑客利用 ProjectSend 严重漏洞攻击服务器
黑客利用 ProjectSend 严重漏洞攻击服务器 Bill Toulas 代码卫士 2024-11-28 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用ProjectSend 中的一个严重认证绕过漏洞,上传 webshell 并获得对服务器的远程访问权限。该漏洞的编号是CVE-2024-11680,是一个影响 ProjectSend r1720 之前版本
继续阅读创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测
创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-28 09:31 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态
继续阅读macOS 磁盘仲裁中的 TOCTOU 漏洞可通过利用符号链接进行沙箱逃逸和权限升级攻击
macOS 磁盘仲裁中的 TOCTOU 漏洞可通过利用符号链接进行沙箱逃逸和权限升级攻击 Ots安全 2024-11-28 09:06 网址 https://nvd.nist.gov/vuln/detail/CVE-2024-44175 目标 – macOS 14.x < 14.7.1 解释 CVE-2024-44175是diskarbitrationdmacOS中的TOCTOU
继续阅读新书来了!《Web漏洞分析与防范实战(卷1)》正式发售
新书来了!《Web漏洞分析与防范实战(卷1)》正式发售 知道创宇 2024-11-28 09:04 1 文末有赠书福利~ ” 在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 每年,Web页面和
继续阅读【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327)
【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327) 启明星辰安全简讯 2024-11-28 08:39 一、漏洞概述 漏洞名称 Zabbix SQL注入漏洞 CVE ID CVE-2024-42327 漏洞类型 SQL注入 发现时间 2024-11-28 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞(CVE-2024-11680)
【漏洞通告】ProjectSend身份验证绕过漏洞(CVE-2024-11680) 启明星辰安全简讯 2024-11-28 08:39 一、漏洞概述 漏洞名称 ProjectSend身份验证绕过漏洞 CVE ID CVE-2024-11680 漏洞类型 身份验证不当 发现时间 2024-11-28 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 Po
继续阅读Firefox和Tor浏览器遭遇神秘0Day漏洞攻击
Firefox和Tor浏览器遭遇神秘0Day漏洞攻击 网络安全与人工智能研究中心 2024-11-28 08:11 俄罗斯某APT组织将攻击与Windows10和11中一个以前未知的漏洞链接起来,在受害者的计算机上安装后门。 近日,俄罗斯某APT组织被发现利用两个以前未知的漏洞攻击Windows PC上的Firefox和Tor浏览器用户。安全厂商ESET指出,这些零日漏洞攻击可能造成“广泛传播”,
继续阅读构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会
构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会 梆梆安全 2024-11-28 08:01 2024年11月27日,由中国计算机学会计算机安全专业委员会指导,国家信息中心下属《信息安全研究》杂志社主办的“2024网络安全创新发展大会”在北京成功召开。大会以“数实融合 安全赋能”为主题,重点围绕数字中国建设、数字安全治理等方面议题展开讨论。梆梆安全受邀参加本次大会,并与现场
继续阅读Intruder推出Intel:一个免费的漏洞情报平台
Intruder推出Intel:一个免费的漏洞情报平台 数世咨询 2024-11-28 08:00 当 CVEs (常见漏洞和披露)成为热门话题时,从众多信息中甄别出关键的安全威胁并采取行动至关重要。正因为如此,专注于攻击面管理的知名厂商 Intruder 推出了 Intel 【译者:非芯片 Intel 】 —— 这一免费的漏洞智能平台旨在帮助分析者迅速识别并优先处理真正的风险。 Intel简介:
继续阅读