某阅读器支付逻辑漏洞
某阅读器支付逻辑漏洞 进击的HACK 2024-12-14 23:55 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 公司:北京某某教育科技有限公司 奇安信搜索:icp.name=”北京某某教育科技有限公司” 补天不收录上传型XSS漏洞,但是感觉有些必要,当做学习思路,也一
继续阅读月度归档: 2024 年 12 月
cve-2024-26229 漏洞分析
cve-2024-26229 漏洞分析 l1nk TtTeam 2024-12-14 16:00 原文首发在:奇安信攻防社区 https://forum.butian.net/share/3101 CSC 漏洞分析 前几日,有人在github中放出了CVE-2024-26229的利用脚本,这里我们就借此机会,分析一下这个漏洞的成因,以及一些利用技巧 背景介绍 Windows 支持很多基于网络的文件
继续阅读OpenWrt 中的严重漏洞:路由器和物联网的恶意固件风险
OpenWrt 中的严重漏洞:路由器和物联网的恶意固件风险 很近也很远 网络研究观 2024-12-14 15:59 用于创建自定义固件映像的 OpenWrt 参加的 Sysupgrade 功能中存在一个严重漏洞,可能允许分发恶意版本。**** OpenWrt是一个基于Linux的操作系统,专为路由器、接入点和物联网设备而设计。 由于其定制功能以及对华硕、D-Link、Zyxel 等不同品牌设备的
继续阅读看见创新力量!极客公园 2024 年度「InnoForce 50」发布
看见创新力量!极客公园 2024 年度「InnoForce 50」发布 原创 极客公园 极客公园 2024-12-14 14:14 排序按照拼音/英文首字母顺序 作为中国领先的创新者社区,极客公园自成立之初便与国内技术创新的浪潮同频共振, 见证了一代又一代技术商业领袖的成长与蜕变。 自 2011 年 1 月首次推出 InnoAwards 以来,极客公园便致力于通过其记录和展示科技互联网领域的年度发
继续阅读“看雪漏洞小组”集结!组团挖洞,一起冲击华为漏洞更高奖励
“看雪漏洞小组”集结!组团挖洞,一起冲击华为漏洞更高奖励 小雪 看雪学苑 2024-12-14 10:00 启动“看雪漏洞小组”,冲刺更高奖励! FIGHTING 活动期间( 11月15日-12月31日)欢迎技术人员加入我们“看雪漏洞小组”,组团参与提交漏洞,实现更高收益! 组团挖洞!共同守护鸿蒙安全 1 活动内容 华为非常重视产品和业务安全,最近推出了一项安全奖励计划,旨在激励白帽子参与,共同维
继续阅读在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告
在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告 原创 管窥蠡测 安在 2024-12-14 08:25 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、央视起底倒卖游戏账号犯罪链 经过近一年的侦破工作,山东济宁曲阜警方近日摧毁一个利用制作、安装木马程序
继续阅读「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞
「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞 冷漠安全 冷漠安全 2024-12-14 04:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Zabbix 存在SQL注入漏洞 (CVE-2024-42327)
Zabbix 存在SQL注入漏洞 (CVE-2024-42327) Mstir 星悦安全 2024-12-14 04:20 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Zabbix 是一款可监控网络的众多参数以及服务器、虚拟机、应用程序、服务、数据库、网站、云等的健康状况和完整性。Zabbix 使用灵活的通知机制,允许用户为几乎任何事件配置基于电子邮件的警报。这允许对服务器问题做出快速
继续阅读安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送
安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送 掌控安全EDU 掌控安全EDU 2024-12-14 04:05 扫码咨询 领福利 作为高薪高技术高缺口的网络行业,通过自学能达到就业标准那当然很棒,但是并不是所有人都适合这条路.有人一走就是1年,甚至更久.. 为什么会有培训机构的存在? 存在即合理,相对于校园的偏理论授课,我们会更倾向于实战教学 ,网络安全是顶级学科,以渗透实战为主的技术
继续阅读价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 原创 一个不正经的黑客 一个不正经的黑客 2024-12-14 04:05 价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 正文 这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。 我当时在测试一个电子商务网站。 该网站有两个资产在测试范围内: target.com 和 admin.target.com。 其中 t
继续阅读OpenWrt 严重漏洞致设备遭受恶意固件注入
OpenWrt 严重漏洞致设备遭受恶意固件注入 独眼情报 2024-12-14 03:39 OpenWrt 的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞 ,如果成功利用,可能会被滥用来分发恶意固件包。 该漏洞的编号为 CVE-2024-54143 ,CVSS 评分为 9.3(满分 10 分),表明该漏洞严重性极高。Flatt Security 研究员
继续阅读北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用)
AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用) 原创 Ting丶 Ting的安全笔记 2024-12-14 02:20 WingBy小密圈知识星球简介在文末。 前期准备 环境需要:Linux(这里使用kali)、Anaconda 首先安装Anaconda 前言:最好使用linux,如果使用windows可能会产生各种报错(各种各种各种!!!),最好使用Anaconda,方便独立管
继续阅读知名企业级文件传输产品存在漏洞,正在被黑客利用
知名企业级文件传输产品存在漏洞,正在被黑客利用 Alpha_h4ck FreeBuf 2024-12-14 02:04 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom
继续阅读考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 黑白之道 2024-12-14 01:55 考研还有VIP?人财两空要注意! 2025年全国硕士研究生招生考试即将拉开帷幕,“包过”、“考研VIP通道”等广告词在考生群里传播。请考生及家长切勿听信谣言,铤而走险,最终只会落得人财两空! 案例分享 在2024年全国硕士研究生招生考试中,网安部门打掉一个以“考
继续阅读锐捷Reyee云管理平台发现严重漏洞
锐捷Reyee云管理平台发现严重漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 网络安全公司 Claroty 的警告称,Reyee 云管理平台和 Reyee OS 网络设备中的漏洞可能允许黑客控制数万台设备。 Ruijie 设备使用 MQTT 消息协议进行通信,其中设备使用用户名/密码对向代理进行身份验证,其中用户名是序列号,密码是反向序列号的 SHA256 计算。
继续阅读CISA 确认勒索软件攻击利用了关键的 Cleo 漏洞
CISA 确认勒索软件攻击利用了关键的 Cleo 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 CISA 证实,Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个严重安全漏洞正被勒索软件攻击所利用。 该漏洞编号为 CVE-2024-50623,影响 5.8.0.21 之前的所有版本。漏洞可使未经身份验证的攻击者在网上暴露的易受攻击
继续阅读apt-t00ls 漏洞检测
apt-t00ls 漏洞检测 原创 白帽学子 白帽学子 2024-12-14 00:11 在日常的网络安全工作中,我们经常会遇到一些棘手的挑战,比如定期的安全评估、hvv行动或者是zb项目。在这些活动中,能否快速发现和利用高危漏洞,对于提升整个团队的响应速度和防御能力至关重要。最近,我在执行一项红蓝对抗演练时,发现了一个非常有用的工具——apt-t00ls。 在一次针对某个关键业务系统的红队演练中
继续阅读PHP 常见漏洞威胁函数 | 全面总结
PHP 常见漏洞威胁函数 | 全面总结 繁星01 安全君呀 2024-12-14 00:10 点击上方蓝色文字关注↑↑↑↑↑ 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,
继续阅读赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞
赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞 thelostworld 2024-12-14 00:00 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读漏洞预警 | 顺景ERP管理系统任意文件下载漏洞
漏洞预警 | 顺景ERP管理系统任意文件下载漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 顺景ERP管理系统是一款为中小型企业量身打造的企业资源规划软件,旨在帮助企业优化业务流程、提高效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: 任意文件下载 影响: 获取敏感信息 简述
继续阅读漏洞预警 | YourPHPCMS SQL注入漏洞
漏洞预警 | YourPHPCMS SQL注入漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 YourphpCMS是一款完全开源免费的PHP+MYSQL系统,强大灵活的后台管理功能、任何添加多国语言功能、静态页面生成功能、自定义模型功能、自制插件安装管理功能、自定义幻灯片模板等可为企
继续阅读漏洞预警 | I Doc View SSRF漏洞
漏洞预警 | I Doc View SSRF漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。 0x03 漏洞详情 漏洞类型: SSRF 影响: 获取
继续阅读【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞
【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-13 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读渗透测试 — Web服务程序解析漏洞和文件包含漏洞
渗透测试 — Web服务程序解析漏洞和文件包含漏洞 Web安全工具库 2024-12-13 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/93865ed0ca5f 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91
继续阅读渗透测试 — CSRF漏洞
渗透测试 — CSRF漏洞 网络安全者 2024-12-13 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/373e3c63ce37 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91
继续阅读利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励
利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励 迪哥讲事 2024-12-13 15:50 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞
【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623
【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623 cexlife 飓风网络安全 2024-12-13 13:58 漏洞描述: Cleo LexiCom、VLTransfer 和 Harmony 都是用于数据传输、企业集成和电子数据交换(EDI)等任务的软件工具,主要应用于企业间的文件交换、供应链管理等领域,Cleo LexiCom、VLTransfer 和 Harmony产品中存在
继续阅读2024年十大最佳漏洞管理工具
2024年十大最佳漏洞管理工具 铸盾安全 河南等级保护测评 2024-12-13 13:49 漏洞管理工具 在检测、分析和修补 Web 和网络应用程序中的漏洞方面发挥着重要作用。安全领域最常用的词是漏洞、风险和威胁。 风险是造成损害或损失的可能性,威胁是利用漏洞的不利事件。找到这些弱点对于保护每项资产和公司的数据至关重要。漏洞是系统中可能对其造成威胁的弱点或漏洞。 漏洞管理工具旨在识别问题。许多安
继续阅读