通过 API 配置错误和逻辑漏洞实现账户接管
通过 API 配置错误和逻辑漏洞实现账户接管 原创 白帽子左一 白帽子左一 2024-11-24 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 漏洞利用只用了 20 分钟 在一次安全研究中,我偶然发现了一个类似论坛的网站,决定对其进行一些探索。不久后,我发现了一个严重的漏洞。 检查 Cookie 注册账号后,我
继续阅读月度归档: 2024 年 11 月
「漏洞复现」爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 信息泄露漏洞
「漏洞复现」爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 信息泄露漏洞 冷漠安全 冷漠安全 2024-11-24 03:48 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读某短视频系统视频知识付费系统存在前台任意文件读取漏洞
某短视频系统视频知识付费系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-11-24 03:46 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 FastAdmin框架短视频系统/视频知识付费源码/附带小说系统**** 系统视频支持包月、单独购买、观影卷等功能 源码附带小说系统 源码需要配置高服务器和VDN加速 Fofa指纹:”testvideo://logi
继续阅读masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手
masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手 黑白之道 2024-11-24 00:32 01 工具介绍 Masscan2Httpx2Nuclei&xray masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 解放双手 02 环境准备 自备nuclei
继续阅读2024年10月涉国内数据泄露事件汇总
2024年10月涉国内数据泄露事件汇总 黑白之道 2024-11-24 00:32 数世咨询联合零零信安共同发布了《数据泄露态势》月度报告,报告基于0.zone安全开源情报系统,监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。报告显示,2024年10月共监控到全球DWM(Dark Web Market)深网和暗网有效情报128,827份,泄露数据的高价值买卖情报3,238份。 从行业分布
继续阅读蓝队研判技巧(一)– 基础篇&WireShark篇
蓝队研判技巧(一)– 基础篇&WireShark篇 进击的HACK 2024-11-23 23:55 fkalis早期在i春秋的投稿文章 原文链接:https://bbs.ichunqiu.com/thread-63452-1-1.html 看了很多关于护网的文章,大多文章都只有关于面试题的文章,并没有真正的蓝队实战的一些分析,关于对可以流量如何进行研判的分析,因为我也是第一次
继续阅读【漏洞复现】通达OA submenu存在前台SQL注入漏洞
【漏洞复现】通达OA submenu存在前台SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台
继续阅读JeecgBoot小于3.6.0版本存在SQL注入漏洞
JeecgBoot小于3.6.0版本存在SQL注入漏洞 船山信安 2024-11-23 16:01 接口/sys/api/queryFilterTableDictInfo存在SQL注入漏洞 通过审计jeecgboot 3.6.0源代码,发现jeecgboot表接口存在SQL注入漏洞,通过构造表名和字段名,直接获取到数据库中的数据。 漏洞代码: 参数table、text、code可以直接带入到前端u
继续阅读7-Zip 文件压缩工具中的漏洞
7-Zip 文件压缩工具中的漏洞 原创 很近也很远 网络研究观 2024-11-23 15:51 7-Zip 文件压缩工具中 发现了一个漏洞, 允许攻击者通过特制的存档远程执行恶意代码。 为了解决这个问题,开发人员发布了一个必须手动安装的更新,因为该程序不支持自动安装更新。 该 漏洞 报告为 CVE-2024-11477,CVSS 严重性评分为 7.8,是由于使用 Zstandard 算法处理压缩
继续阅读「漏洞复现」微信活码系统 ucenter/index SQL注入漏洞
「漏洞复现」微信活码系统 ucenter/index SQL注入漏洞 冷漠安全 冷漠安全 2024-11-23 12:35 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作
继续阅读SBSCAN Spring框架渗透,这一个工具就够了|漏洞探测
SBSCAN Spring框架渗透,这一个工具就够了|漏洞探测 安全帮 2024-11-23 11:36 0x01 工具介绍 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 下载地址在末尾 0x02 功能简介核心特性最全的敏感路径字典:最全的springboot站点敏感路径字典,帮你全
继续阅读Java漏洞平台 – JavaSecLab
Java漏洞平台 – JavaSecLab GSDK安全团队 2024-11-23 11:32 01 项目地址 https://github.com/whgojp/JavaSecLab 02 项目介绍 JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI…… 注: 工具仅供安全研究与
继续阅读【安全圈】D-Link忽视旧款VPN路由器补丁更新,关键漏洞未修复
【安全圈】D-Link忽视旧款VPN路由器补丁更新,关键漏洞未修复 安全圈 2024-11-23 11:00 关键词 在发现严重的远程代码执行 (RCE) 漏洞后,D-Link 强烈建议其旧款 VPN 路由器用户更换设备。由于这些型号的路由器已达到其使用寿命和终止支持的日期,因此不会再对其打补丁以防范该漏洞。 安全研究人员”delsploit”向D-Link报告了该漏洞,但
继续阅读某一cms后台代码执行漏洞
某一cms后台代码执行漏洞 船山信安 2024-11-23 10:35 前言 最近在漏洞平台看到ucms后台漏洞,便寻找了一下发现有开源源码,分析一下 漏洞复现 首先漏洞发生在后台,也就是需要先登录后台可利用,有点鸡肋,但还是要学习一下 后台管理中心->文件管理->任意选一个编辑->保存->抓包 然后访问该文件名 漏洞分析 uncms/index.php 44行 也就是说获
继续阅读CVE-2024-52301|Laravel注入漏洞
CVE-2024-52301|Laravel注入漏洞 alicy 信安百科 2024-11-23 10:25 0x00 前言 Laravel 是一个后端框架,提供了构建现代 Web 应用所需的所有功能,例如路由、验证、缓存、队列、文件存储等等。 0x01 漏洞描述 由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数,当register_argc_argv PHP指令被设置为on时,攻
继续阅读CVE-2024-0012|Palo Alto Networks PAN-OS身份验证绕过漏洞(POC)
CVE-2024-0012|Palo Alto Networks PAN-OS身份验证绕过漏洞(POC) alicy 信安百科 2024-11-23 10:25 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力,可
继续阅读winzip、7z 压缩软件存在漏洞需警惕以及一条不可信的 Linux 0day 漏洞预警
winzip、7z 压缩软件存在漏洞需警惕以及一条不可信的 Linux 0day 漏洞预警 独眼情报 2024-11-23 07:09 安全研究人员发现了广泛使用的文件归档工具 WinZip 中的一个严重漏洞,该漏洞可能允许攻击者绕过关键的安全措施并可能在用户的系统上执行恶意代码。 该漏洞被标记为 CVE-2024-8811,CVSS 评分为 7.8(高),影响 WinZip 76.8 版之前的所
继续阅读全新发布!通用2.0漏洞奖励计划及第五期活动
全新发布!通用2.0漏洞奖励计划及第五期活动 补天平台 2024-11-23 06:08 EVENT 通用2.0漏洞奖励计划 -重磅发布- 通用2.0发布+通用专项活动 在当今数字环境中,网络安全挑战日益严峻。补天通用2.0致力于提供更客观、科学、严谨和负责的响应流程。采用标准化评估体系确保准确性;建立科学评分体系;确保漏洞及时响应。我们相信,唯有以客观与负责的态度,才能与白帽携手一同提升我国网络
继续阅读某CMS权限绕过漏洞(0Day)
某CMS权限绕过漏洞(0Day) Jie安全 2024-11-23 05:01 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 不会存在相关的POC,要POC的师傅可以划走啦,这个文章记录一下自己在给xx做代码审计的一次权限绕过,大致源码方式是(得到目标->提取指纹-&
继续阅读D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914)
D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) Superhero nday POC 2024-11-23 03:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读国外黑五安全系列证书折扣信息情报
国外黑五安全系列证书折扣信息情报 原创 道玄安全 道玄网安驿站 2024-11-23 03:13 “ 国外双十一到了” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(4)
网络安全顶刊——TIFS 2024 论文清单与摘要(4) 漏洞战争 漏洞战争 2024-11-23 02:26 256、PrivGrid: Privacy-Preserving Individual Load Forecasting Service for Smart Grid 基于智能电表的个体负载预测在智能电网和家庭能源管理中的应用越来越广泛。传统的负载预测系统从用户的智能电表中以明文形式收集
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(2)
网络安全顶刊——TIFS 2024 论文清单与摘要(2) 漏洞战争 漏洞战争 2024-11-23 02:26 87、Covert Transmission in Water-to-Air Optical Wireless Communication Systems 隐蔽通信通过确保合法接收者(Bob)能够满意地解码,同时隐藏信息传输,使其不被警惕的对手(Willie)发现。在本文中,我们提出了一
继续阅读msiscan:一款针对msi文件的漏洞检测与识别工具
msiscan:一款针对msi文件的漏洞检测与识别工具 Alpha_h4ck FreeBuf 2024-11-23 02:03 关于msiscan msiscan是一款针对Microsoft Windows *.msi 安装程序文件的漏洞检测与识别工具,该工具基于Python开发,可以用于获取安装程序的概述并识别潜在的安全问题。 需要注意的是,当前版本的msiscan正处于积极开发中,可能会存在假
继续阅读FreeBuf周报 | 越来越多的国家正为黑客“松绑”;WordPress插件漏洞暴露数百万网站
FreeBuf周报 | 越来越多的国家正为黑客“松绑”;WordPress插件漏洞暴露数百万网站 Zicheng FreeBuf 2024-11-23 02:03 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 涉嫌强迫用户共享数据,印度对Meta处以2500万美元罚款 近日
继续阅读5th域安全微讯早报【20241123】282期
5th域安全微讯早报【20241123】282期 网空闲话 网空闲话plus 2024-11-23 01:25 2024-11-23 星期六**Vol-2024-282 今日热点导读 **1. 乘客要求审计TSA识别技术的隐私与准确性 2. 美国司法部要求谷歌剥离Chrome以严重搜索垄断 3. 《2024年医疗保健网络安全和弹性法案》聚焦加强医疗数据保护 4. 英国饮用水供应因网络事件频发而中断
继续阅读Ubuntu发行版修复5个本地提权漏洞,已潜伏10年;AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞
Ubuntu发行版修复5个本地提权漏洞,已潜伏10年;AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞 黑白之道 2024-11-23 01:23 Ubuntu发行版修复5个本地提权漏洞,已潜伏10年; 11 月 22 日消息,科技媒体 bleepingcomputer 于 11 月 20 日发布博文,报道称 Ubuntu Linux 发行版中潜伏 10 年的漏洞被发现,攻击者
继续阅读AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址
AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址 会杀毒的单反狗 军哥网络安全读报 2024-11-23 01:00 导读 流行的远程桌面应用程序 AnyDesk 中发现一个严重漏洞,可能允许攻击者泄露用户的 IP 地址。 该漏洞被编号为 CVE-2024-52940,影响 Windows 系统上的 AnyDesk 8.1.0 及更早版本。 安全研究员 Ebrahim Shafiei (
继续阅读漏洞预警 | PostgreSQL代码执行漏洞
漏洞预警 | PostgreSQL代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10979 0x01 危险等级 – 高危 0x02 漏洞概述 PostgreSQL是一个免费的对象-关系数据库服务器,它的Slogan是“世界上最先进的开源关系型数据库”。它具有强大的功能、稳定的性能、高度的可扩展性和丰富的数据类型
继续阅读