大模型安全漏洞报告(2024)
大模型安全漏洞报告(2024) 计算机与网络安全 2024-11-25 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安全、框架层安全以及应用层安全三大维度探查安全问题,并借助360安全大模型自动化的代码分析能力,对多个开源项目进行代码梳理和风险评估,最终审计并发现了近40个大模型
继续阅读月度归档: 2024 年 11 月
【神兵利器】Spring-Boot漏洞利用工具
【神兵利器】Spring-Boot漏洞利用工具 wh1t3zer 七芒星实验室 2024-11-25 23:00 项目介绍 SpringBootVul-GUI是 一个半自动化springboot打点工具,内置目前springboot所有漏洞 文件结构 ├──SpringbootVul-GUI ├── META-INF/ ├── resources/ # 存放资源文件、字典和exp的跨文件 ├──
继续阅读【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞
【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞 银遁安全团队 2024-11-25 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业。KingH5Stream是基于HTML5技术的优秀视频直播方案,具有低延迟、高性能
继续阅读NDSS 2025新作 | 靠谱的第三方库?VULTURE破解1-Day漏洞难题!
NDSS 2025新作 | 靠谱的第三方库?VULTURE破解1-Day漏洞难题! 原创 Shangzhi Xu SecNotes 2024-11-25 19:19 “ 软件开发的时候,使用第三方库(Thrid Party Library, TPL)早已成为开发者的标配,既省时又省力。但方便的背后,往往藏着 1-Day 漏洞的风险。 我们新开发的工具VULTURE@NDSS 25’,
继续阅读JAVA代码审计-悟空crm客户管理系统fastjson漏洞
JAVA代码审计-悟空crm客户管理系统fastjson漏洞 船山信安 2024-11-25 16:07 一. 本地搭建 版本:Wukong CRM9.0 搭建需要使用myql数据库和redis两个,使用phpstudy搭建即可,mysql数据库的文件为WukongCRM-9.0-JAVA-9.0.1_20191202/src/main/resources/config/crm9-config.t
继续阅读远程未授权访问漏洞(CVE-2024-23692)
远程未授权访问漏洞(CVE-2024-23692) XiaomingX Web安全工具库 2024-11-25 16:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读Spring Cloud Data Flow高危漏洞(CVE-2024-37084)
Spring Cloud Data Flow高危漏洞(CVE-2024-37084) XiaomingX 网络安全者 2024-11-25 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全
继续阅读【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477
【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477 cexlife 飓风网络安全 2024-11-25 14:06 漏洞描述: 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zstandard解
继续阅读HTB-Chemistry靶机渗透,CVE-2024-23334系统目录遍历,导致权限提升
HTB-Chemistry靶机渗透,CVE-2024-23334系统目录遍历,导致权限提升 原创 仙草里没有草噜丶 泷羽Sec 2024-11-25 11:58 ~ 两个人挺好,一个人也不错。 ~ Goby2024红队版工具分享,附2024年漏洞POC下载 谁的能拒绝这样一款终端呢? 靶机 image-20241125150033245 靶机渗透 首页 image-2024112312493406
继续阅读行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 中国信息安全 2024-11-25 11:24 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用
继续阅读漏洞赏金技巧:初学者指南(2024)#1
漏洞赏金技巧:初学者指南(2024)#1 原创 再说安全 再说安全 2024-11-25 11:19 本文阅读大约需要10分钟; 本文整理提炼了一份漏洞赏金技巧清单,旨在为初学者提供参与漏洞赏金项目的实用指南。该清单以 Web 站点渗透测试为基础,循序渐进地介绍了漏洞挖掘的核心步骤和常用工具,并通过提供可操作的命令示例,降低入门门槛,即使是初学者也能轻松上手。清单中涵盖的技术和方法,例如子域名枚举
继续阅读漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞
漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-25 10:29 漏洞描述 智互联(深圳)科技有限公司SRM智联云采系统针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效
继续阅读360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 2024-11-25 10:22 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》
继续阅读Funbox 2靶场复现
Funbox 2靶场复现 原创 LULU 红队蓝军 2024-11-25 10:01 1、信息收集 IP arp-scan -l netdiscover -r 192.168.56.0/24 目录 扫描端口探测出robots.txt 文件。访问,但没有有用信息,使用工具进行目录扫描 dirsearch -u http://192.168.56.103 -i 200 端口 nmap -A -sV –
继续阅读【即将开课】系统0day安全-二进制漏洞攻防(第4期)
【即将开课】系统0day安全-二进制漏洞攻防(第4期) 看雪课程 看雪学苑 2024-11-25 09:59 数字化时代,信息安全已成为企业运营的重中之重。二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战,我们精心打造了一门全新的课程——系统0day安全-二进制漏洞攻防(第4期)。 上新价
继续阅读Fuzzing 升级:谷歌通过AI找到更多漏洞
Fuzzing 升级:谷歌通过AI找到更多漏洞 Thomas Claburn 代码卫士 2024-11-25 09:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌的 OSS-Fuzz 项目使用大语言模型 (LLMs) 助力找到代码仓库中的漏洞,目前已识别出26个漏洞,包括在使用广泛的 OpenSSL 库中的一个严重漏洞。 该 OpenSSL 漏洞 (CVE-2024-9143)
继续阅读【免费领】网安从业必备:Web漏洞检测及修复方案大全
【免费领】网安从业必备:Web漏洞检测及修复方案大全 蚁景网络安全 2024-11-25 09:36 点击蓝字/关注我们 今日福利 网安学习从业必备工具书 收录最全的Web漏洞检测及修复手册 覆盖众多类型漏洞,提供大量案例方法 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “1125” , 免费领取~【请注意: 不要直接 回复 公众
继续阅读SRM智联云采系统receiptDetail SQL注入漏洞复现及POC
SRM智联云采系统receiptDetail SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-25 09:26 FOFA title=="SRM 2.0" 漏洞复现 POC GET /adpweb/api/srm/delivery/receiptDetail?pageSize=1&pageNumber=1&ord
继续阅读【工具分享】Goby最新红队专版下载(1400+POC)
【工具分享】Goby最新红队专版下载(1400+POC) 原创 Swimt 星悦安全 2024-11-25 09:13 点击上方 蓝字 关注我们 并设为 星标 0x00 Goby红队版 Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。 Goby可提供最全面的资产识别,目前预置了超过10万种规则识别引擎,能够针对硬件设备和
继续阅读安全热点周报:黑客利用两个零日漏洞攻破 Palo Alto Networks 的数千个防火墙
安全热点周报:黑客利用两个零日漏洞攻破 Palo Alto Networks 的数千个防火墙 奇安信 CERT 2024-11-25 09:05 安全资讯导视 • 国家数据局印发《可信数据空间发展行动计划(2024—2028年)》 • 《工业和信息化领域数据安全合规指引》正式发布 • 国家网络安全通报中心:多个与某大国政府有关的境外黑客组织持续攻击国内单位企业 PART01 漏洞情报 1.App
继续阅读发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! Urkc安全 2024-11-25 09:02 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》 透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发
继续阅读【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477)
【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477) 启明星辰安全简讯 2024-11-25 08:59 一、漏洞概述 漏洞名称 7-Zip代码执行漏洞 CVE ID CVE-2024-11477 漏洞类型 整数下溢 发现时间 2024-11-25 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用
继续阅读财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞
财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞 独眼情报 2024-11-25 08:35 全球千强企业巨头暴露的3万个API和10万个API漏洞 一份关于财富1000强和法国CAC 40指数企业API安全风险的惊人发现。 通过结合先进的子域名枚举、AI驱动的指纹识别和开源情报技术,Escape安全研究团队对财富1000强和CAC 40企业的域名进行了爬取。我们发现了
继续阅读【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取
【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取 Undoubted Security 2024-11-25 08:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: fofa:app="泛微-OA(e-cology)
继续阅读致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战
致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战 安全客 2024-11-25 07:01 近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。 报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全
继续阅读雷神众测漏洞周报2024.11.18-2024.11.24
雷神众测漏洞周报2024.11.18-2024.11.24 原创 雷神众测 雷神众测 2024-11-25 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【SQL注入】用友NC process SQL注入漏洞
【SQL注入】用友NC process SQL注入漏洞 原创 1ang 小羊安全屋 2024-11-25 06:49 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PA
继续阅读API攻防 | Web API 安全漏洞挖掘指南!
API攻防 | Web API 安全漏洞挖掘指南! 匿名白帽子 WK安全 2024-11-25 06:40 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏
继续阅读一文读懂CSRF漏洞
一文读懂CSRF漏洞 simple学安全 simple学安全 2024-11-25 06:38 目录 简介 CSRF漏洞全称跨站请求伪造漏洞,攻击者利用目标用户的身份,以目标用户的名义执行相关操作。在目标用户登录了网站的前提下,点击攻击者发送的恶意url,才能触发漏洞。 常见的修改密码、分享文章、点赞、发信息等功能处,都可能存在CSRF漏洞。 漏洞利用 测试CSRF漏洞,主要是使用BurpSuit
继续阅读违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览
违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览 安全牛 2024-11-25 06:30 点击蓝字·关注我们 / aqniu 新闻速览 •四部门联合开展“清朗·网络平台算法典型问题治理”专项行动 •违反《网络安全法》相关规定,快手被依法处罚 •远程链式WiFi攻击手法曝光,传统物理接近已非必需 •APT组织Gels
继续阅读