腾讯云安全情报中心推出2024年11月必修安全漏洞清单
腾讯云安全情报中心推出2024年11月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-12-17 03:06 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综
继续阅读月度归档: 2024 年 12 月
【漏洞复现】某平台-TUploadImgNoCheck-fileupload任意文件上传漏洞
【漏洞复现】某平台-TUploadImgNoCheck-fileupload任意文件上传漏洞 原创 南极熊 SCA御盾 2024-12-17 02:52 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用
继续阅读学员分享 | CISP-PTS—渗透测试进阶的不二之选
学员分享 | CISP-PTS—渗透测试进阶的不二之选 学员心得分享 安全牛课堂 2024-12-17 02:48 身为一名在渗透测试领域摸爬滚打过几年的从业者,深知在这个技术飞速更迭、攻防对抗日益激烈的行业里,持续提升自己的专业技能是多么关键。今天,我把自己亲身经历且受益匪浅的 CISP-PTS 培训推荐给各位同行以及有志于投身渗透测试领域的朋友们。 起初,在日常的渗透测试工作中,我虽积累了一定
继续阅读DFA攻击白盒AES复现——某新能源车企
DFA攻击白盒AES复现——某新能源车企 原创 Lychow 逆向成长日记 2024-12-17 02:46 原文链接 : https://wx.zsxq.com/group/51111114544514/topic/4844528181528428 样本下载链接: aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzM2NjM1NS9oaXN0b3J5X3YyMj
继续阅读CVSS漏洞评分系统曝出严重缺陷
CVSS漏洞评分系统曝出严重缺陷 GoUpSec 2024-12-17 02:19 随着漏洞披露量的持续增长和攻击复杂性的提升,准确的风险评估对于企业防御和漏洞修复至关重要。在近日举行的Black Hat欧洲大会上,金融巨头摩根大通的网络安全专家发出警告:当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统(CVSS)存在重大缺陷,可能导致安全团队对漏洞风险误判,从而延长漏洞的暴露时间,增加组织面
继续阅读组织人员“刷单炒信”?严厉打击!|苹果 HomeKit 漏洞曝光,间谍软件入侵的新途径
组织人员“刷单炒信”?严厉打击!|苹果 HomeKit 漏洞曝光,间谍软件入侵的新途径 黑白之道 2024-12-17 02:08 组织人员“刷单炒信”?严厉打击! 我看某个电商商铺好评如潮 评分高、评论区有图有真相 就在他那买了两件衣服 可是等我收到货 好像也就那么回事 质量、款式都不咋地 买家秀、卖家秀差别咋这么大呢? 哎,网警蜀黍可以悄悄告诉你 可能这家店铺有人专门组织水军刷单炒信 你看到的
继续阅读上周关注度较高的产品安全漏洞(20241209-20241215)
上周关注度较高的产品安全漏洞(20241209-20241215) 国家互联网应急中心CNCERT 2024-12-17 02:02 一、境外厂商产品漏洞 1、IBM Cognos Controller跨站请求伪造漏洞 IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。 参考链接:h
继续阅读Windows 内核漏洞现被利用来获取系统权限
Windows 内核漏洞现被利用来获取系统权限 独眼情报 2024-12-17 01:31 CISA 已警告美国联邦机构,要求其系统防范针对高严重性 Windows 内核漏洞的持续攻击。 该安全漏洞被标记为 CVE-2024-35250,是由于不受信任的指针取消引用弱点造成的,该弱点允许本地攻击者在不需要用户交互的低复杂度攻击中获得 SYSTEM 权限。 虽然微软在 6 月份发布的安全公告中没有分
继续阅读CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布
CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布 独眼情报 2024-12-17 01:31 CVE-2024-53677 安全公告:CVE-2024-53677 – 严重 Apache Struts 远程代码执行漏洞 日期:2024 年 12 月 14 日 CVE 编号:CVE-2024-53677 CVSS 评分:9.5(严重) 概述 流行的 Apac
继续阅读利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露
利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 汇能云安全 2024-12-17 01:30 12月17日,星期二,您好!中科汇能与您分享信息安全快讯: 01 利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 近期,美国最大的比特币ATM运营商Byte Federal披露了数据泄露事件,黑客利用GitLab漏洞入侵系统,泄露了58000名客户数
继续阅读【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取
【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取 原创 马赛克安全实验室 马赛克安全实验室 2024-12-17 01:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责
文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责 E安全 2024-12-17 01:02 E安全消息,Clop勒索软件团伙已向BleepingComputer证实,他们是最近Cleo数据盗窃攻击的幕后黑手,利用零日漏洞入侵公司网络并窃取数据。 Cleo是管理文件传输平台Cleo Harmony、VLTrader和LexiCom的开发商,企业使用这些平台与商业伙伴安全地交换文件。
继续阅读1Day-某优先锋-流量管理系统存在SQL注入漏洞
1Day-某优先锋-流量管理系统存在SQL注入漏洞 原创 狐狸 狐狸说安全 2024-12-17 01:01 免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 狐狸说安全及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 0x01 概述 灵州网络隶属于北京灵州网络技术有限公司,公司
继续阅读大众汽车信息娱乐系统存在多个缺陷,可能导致车辆被实时追踪
大众汽车信息娱乐系统存在多个缺陷,可能导致车辆被实时追踪 会杀毒的单反狗 军哥网络安全读报 2024-12-17 01:00 导读 网络安全公司 PCAutomotive 的安全研究人员发现大众汽车部分车辆使用的信息娱乐单元存在多个安全漏洞。远程攻击者可以利用这些漏洞实现某些控制并实时跟踪汽车的位置。 Danila Parnishchev 和 Artem Ivachev 领导的团队发现了 MIB3
继续阅读写了一个自动测试弱口令漏洞的脚本
写了一个自动测试弱口令漏洞的脚本 原创 xazlsec 信安之路 2024-12-17 01:00 为了实现登录口的自动弱口令尝试,在 github 找了一圈发现已经有小伙伴做了一些研究,项目地址: https://github.com/yzddmr6/WebCrack 为此,作者还专门写了一个博客来介绍他的实现思路,地址: https://yzddmr6.com/posts/webcrack-r
继续阅读以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击
以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-17 01:00 导读 研究人员发现了一个安卓 0day 漏洞,该漏洞被用于悄悄部署针对塞尔维亚记者的定制监控间谍软件。调查显示,该技术与以色列取证供应商 Cellebrite 有关。 在周一发布的一份技术报告中,该组织详细介绍了一种名为“NoviSpy”的新间谍软件感染记者
继续阅读DTStack Taier 1.4.0 listNames sql注入分析(CVE-2024-41579)
DTStack Taier 1.4.0 listNames sql注入分析(CVE-2024-41579) 原创 韭菜 fraud安全 2024-12-17 01:00 通告 漏洞分析 根据参考文献,很幸运发现了payload 通过payload可以知道漏洞触发接口是listNames 触发参数是jobName 在项目的Model 层和xml文件 查询jobName 在Java中sql拼接大致分为
继续阅读主动安全策略的 3 个组成部分
主动安全策略的 3 个组成部分 三沐 三沐数安 2024-12-17 00:30 您的组织可能已部署了多种网络安全防御措施,但仅靠防御措施不足以保护您免受当今多方面的网络攻击。主动添加一层攻击性安全评估和测试有助于您在系统漏洞被利用之前找出漏洞。主动安全措施可帮助您通过以下方式领先于攻击者: – 识别环境中的漏洞和潜在攻击路径 – 量化它们对重要资产造成的风险 –
继续阅读漏洞预警 | WordPress Query Console远程代码执行漏洞
漏洞预警 | WordPress Query Console远程代码执行漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – CVE-2024-50498 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress Query Console曾是一个为WordPress平台提供查询功能的插件,允许用户在WordPress后台通过插件界面执
继续阅读漏洞预警 | SonicWall SMA100 SSL-VPN缓冲区溢出漏洞
漏洞预警 | SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – # CVE-2024-45318 0x01 危险等级 – 高危 0x02 漏洞概述 SonicWall是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育
继续阅读漏洞预警 | Mitel MiCollab身份验证绕过漏洞
漏洞预警 | Mitel MiCollab身份验证绕过漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – # CVE-2024-41713 0x01 危险等级 – 高危 0x02 漏洞概述 Mitel MiCollab是一个企业协作平台,它将各种通信工具整合到一个应用程序中,提供语音和视频通话、消息传递、状态信息、音频会议、移动支持和团队协作功能
继续阅读HOST碰撞漏洞挖掘技巧,可以解决日常99%的问题!
HOST碰撞漏洞挖掘技巧,可以解决日常99%的问题! 原创 牛叫瘦 HACK之道 2024-12-17 00:00 引言 在网络安全领域,各种漏洞的挖掘与防护始终是攻防双方关注的焦点。其中,HOST碰撞漏洞(也称为主机名冲突漏洞或HTTP Host头注入漏洞)作为一种常见的网络攻击手段,因其能够绕过访问控制、访问未经授权的资源等特性,备受攻击者青睐。本文将从HOST碰撞漏洞的原理、可能存在的地方、
继续阅读【神兵利器】飞企互联FE漏洞综合利用工具
【神兵利器】飞企互联FE漏洞综合利用工具 M0untainShley 七芒星实验室 2024-12-16 23:00 项目介绍 飞企互联 FE 平台一键漏洞探测工具,支持单 url 以及批量探测 漏洞支持 支持对如下漏洞进行探测 1. uploadAttachmentServlet 任意文件上传漏洞 common_sort_tree.jsp 表达式命令执行&任意文件写入漏洞 validat
继续阅读解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞
解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞 网空闲话 网空闲话plus 2024-12-16 22:56 BleepingComputer12月16日的跟踪报道表明,塞 尔维亚政府被指利用高通芯片的多个零日漏洞,通过名为NoviSpy的间谍软件监视活动人士、记者和抗议者。关键漏洞之一是CVE-2024-43047,该漏洞于2024年10月被Google Project Ze
继续阅读秦安:澳大利亚高达325瓶致命病毒至今下落不明,这四点不要放过
秦安:澳大利亚高达325瓶致命病毒至今下落不明,这四点不要放过 原创 秦安战略 秦安战略 2024-12-16 22:01 这真是不亚于韩国总统叛乱和叙利亚总统逃亡的事件,可以说是暴乱叠加逃亡的叠加事件,325瓶致命活病毒从澳大利亚实验室丢失,至今下落不明!更为骇人听闻的是,这些病毒早在三年前丢失,本月才确认。这无疑比韩国内乱和叙利亚变天更具有扩散性、危害性和隐蔽性,需要全世界高度警惕。尤其是以下
继续阅读【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell
【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell 原创 xiachuchunmo 银遁安全团队 2024-12-16 18:34 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创
继续阅读电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞
电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-16 18:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读渗透测试 — SSRF和XXE漏洞
渗透测试 — SSRF和XXE漏洞 Web安全工具库 2024-12-16 16:02 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/dbcba25c1c8e 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb5a474
继续阅读【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新
【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新 奇安信 CERT 2024-12-16 16:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级
继续阅读Eyoucms的sql注入复现
Eyoucms的sql注入复现 船山信安 2024-12-16 16:02 本cms的漏洞已经提交过cnvd已修复了。更新到最新版本即可 0x01 漏洞复现 这里我是本地搭建的eyoucms环境演示 默认安装完成后,我先是访问如下url http://127.0.0.1:8081/eyoucms/?m=home&c=View&a=index&aid=89 然后开启b
继续阅读