2024年OWASP LLM安全漏洞年度报告
2024年OWASP LLM安全漏洞年度报告 龙猫 星尘安全 2024-12-09 02:00 市场概述 在生成式AI技术迅猛发展的2024年,企业对AI技术的采用呈现爆发式增长。根据Menlo Ventures发布的最新市场数据显示,2024年AI相关投资规模已达到138亿美元的历史新高,较2023年增长达6倍。调查数据显示,72%的美国企业决策者正在扩大其生成式AI工具的应用范围,反映出市场对
继续阅读月度归档: 2024 年 12 月
【漏洞复现】Palo Alto PAN-OS身份认证绕过CVE-2024-0012及命令执行漏洞CVE-2024-9474
【漏洞复现】Palo Alto PAN-OS身份认证绕过CVE-2024-0012及命令执行漏洞CVE-2024-9474 原创 清风 白帽攻防 2024-12-09 01:34 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 Palo Alto Networ
继续阅读CVE-2023-6553 WordPress存在的远程命令执行漏洞
CVE-2023-6553 WordPress存在的远程命令执行漏洞 TtTeam 2024-12-09 01:33 一、漏洞概述与影响范围: Backup Migration插件是WordPress中一个自动备份类的插件,可帮助管理员自动将网站备份到本地存储或Google Drive账户上,目前有超过9万次安装。本次排查的漏洞出现在Backup Migration 1.3.7及之前的所有版本,插
继续阅读X漏洞奖励计划收录扩大!高价收洞!(文末抽奖)
X漏洞奖励计划收录扩大!高价收洞!(文末抽奖) X情报社区 CKCsec安全研究院 2024-12-09 01:00 活动时间 2024/11/20-2024/12/31 活动亮点 1、0day收录范围扩大,不再受限于往期活动范围。 2、非0day开放收录,且新增以下两类收录: a.新增收录二进制非0day收录: 收录范围包括Windows、Linux、Chrome; b.新增收录公开时间在一年内
继续阅读Array Networks SSL VPN 产品曝严重漏洞,已被黑客利用
Array Networks SSL VPN 产品曝严重漏洞,已被黑客利用 原创 技术修道场 技术修道场 2024-12-09 00:39 美国网络安全和基础设施安全局 (CISA) 警告称,黑客正在积极利用 Array Networks AG 和 vxAG ArrayOS SSL VPN 产品中的一个远程代码执行漏洞。 图片来源于网络 漏洞细节 该漏洞编号为 CVE-2023-28461,CVS
继续阅读Windows 权限提升漏洞检测工具集
Windows 权限提升漏洞检测工具集 BC-SECURITY 夜组安全 2024-12-09 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推
继续阅读漏洞预警 | 思普企业运营管理平台SQL注入漏洞
漏洞预警 | 思普企业运营管理平台SQL注入漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思普企业运营管理平台是一款专为企业提供全方位运营管理解决方案的软件平台,旨在帮助企业实现运营流程的可视化、自动化和协同化管理,提升运营效率和管理水平。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞
漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # CVE-2024-11667 0x01 危险等级 – 高危 0x02 漏洞概述 Zyxel是国际知名的网络宽带系统及解决方案供应商。 0x03 漏洞详情 CVE-2024-11667 漏洞类型: 目录遍历**** 影响: 获取敏感信息 简述: Z
继续阅读漏洞预警 | Apache Arrow R package反序列化漏洞
漏洞预警 | Apache Arrow R package反序列化漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # CVE-2024-52338 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Arrow是一种通用的列式格式和多语言工具箱,用于快速数据交换和内存分析。 0x03 漏洞详情 CVE-2024-52338 漏洞类
继续阅读用可命令执行的大模型进行偷家
用可命令执行的大模型进行偷家 原创 银空飞羽 飞羽技术工坊 2024-12-08 17:40 PortSwigger 大模型安全靶场的第二篇记录,学习大模型安全的思路。 靶场地址: https://portswigger.net/web-security/all-labs#web-llm-attacks 题目介绍 考点:利用大模型API的漏洞攻击 场景:这是一个包含系统命令注入执行API漏洞的靶场
继续阅读挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用!
挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用! 迪哥讲事 2024-12-08 15:28 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 今天聊点歪门邪道。跟刚入行还是实习生的小伙子交流的时候
继续阅读「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞
「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞 冷漠安全 冷漠安全 2024-12-08 12:21 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
继续阅读【安全圈】关键的联发科芯片组漏洞影响15亿手机用户
【安全圈】关键的联发科芯片组漏洞影响15亿手机用户 安全圈 2024-12-08 11:00 关键词 安全漏洞 联发科(MediaTek)是全球领先的Android平板电脑和智能手机芯片供应商,同时也是全球第二大智能手机芯片制造商,拥有超过15亿活跃的Android设备。该公司以其集成的先进5G、人工智能、成像、连接和游戏技术而闻名,致力于提供高性能解决方案,以增强全球范围内各种设备的用户体验。
继续阅读【1day报送】安徽生命港湾信息技术有限公司采集服务管理工具存在未授权访问&弱口令漏洞
【1day报送】安徽生命港湾信息技术有限公司采集服务管理工具存在未授权访问&弱口令漏洞 原创 hongzh0 Hacking Group 0434 2024-12-08 08:07 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任 今天下午闲着没事看了下CNVD报送 本来想顺着打一下,报告
继续阅读一文看懂安卓JSB风险漏洞挖掘
一文看懂安卓JSB风险漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2024-12-08 05:16 JSB基础 JavaScript Bridge(简称 JSB)是一种在移动端开发中广泛使用的技术,用于实现 JavaScript 与本地代码(如 Java 或 Kotlin)之间的通信。虽然 JSB 为混合开发提供了强大的能力,但其不当使用可能导致严重的安全问题。 本文将围绕以下内容展开: 1. JS
继续阅读关键的联发科芯片组漏洞影响15亿手机用户
关键的联发科芯片组漏洞影响15亿手机用户 老布 FreeBuf 2024-12-08 02:01 联发科(MediaTek)是全球领先的Android平板电脑和智能手机芯片供应商,同时也是全球第二大智能手机芯片制造商,拥有超过15亿活跃的Android设备。 该公司以其集成的先进5G、人工智能、成像、连接和游戏技术而闻名,致力于提供高性能解决方案,以增强全球范围内各种设备的用户体验。 然而,最近联
继续阅读【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞
【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-07 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友NC是用友网络科技股份有限公司开发的一款企业级管理软件,旨在为企业提供全方位的管理服务。主要面向大型企业和集团公司,提供全面的财务和业务管理解决
继续阅读SD Express 卡漏洞导致笔记本电脑和游戏机遭受内存攻击
SD Express 卡漏洞导致笔记本电脑和游戏机遭受内存攻击 原创 很近也很远 网络研究观 2024-12-07 16:00 Positive Technologies 最近发布的一份报告揭示了一个名为 DaMAgeCard 的新漏洞,攻击者可以利用该漏洞利用 SD Express 内存卡直接访问系统内存。 该漏洞利用了 SD Express 中引入的直接内存访问 (DMA) 功能来加速数据传输
继续阅读Spring Properties 远程代码执行
Spring Properties 远程代码执行 srcincite securitainment 2024-12-07 15:54 Remote Code Execution with Spring Properties Spring Properties 远程代码执行 最近,一位以前的学生向我展示了一个非常有趣的 Spring 应用程序中的未经身份验证的漏洞,他们在利用这个漏洞时遇到了困难。上
继续阅读AI不到3分钟生成了一份29页的《漏洞扫描原理及常用工具》PPT材料
AI不到3分钟生成了一份29页的《漏洞扫描原理及常用工具》PPT材料 原创 筑梦网安 全栈安全 2024-12-07 15:07 我抱着怀疑的态度试用了一下AI自动生成PPT培训材料,用到的提示词是:漏洞扫描原理及常用工具介绍。 总体上来说,结果还是让人比较惊喜的!不到三分钟AI便完成了材料的生成,整体风格比较协调,配图与文字也较为匹配。 话不多说,先看成品!文末再对内容做点评。 注:上图中出了个
继续阅读网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件
网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件 原创 扬名堂 东方隐侠安全团队 2024-12-07 13:35 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 研究人员发现流行开源机器学习框架存在漏洞 网络安全研究人员披露了多个影响开源机器学习(ML)工具和框架(如 MLflow、H2O、
继续阅读赛克安全本周漏洞推送(12.2-12.6)
赛克安全本周漏洞推送(12.2-12.6) thelostworld 2024-12-07 12:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报申
继续阅读CVE-2024-53908|Django Oracle SQL注入漏洞
CVE-2024-53908|Django Oracle SQL注入漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费
继续阅读CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞
CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 SonicWall 是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育机构等。 SMA 100系列的Web应用程序防火墙(WAF)和数据泄露防护(DLP)功能(可
继续阅读Windows 7 至 Windows 11 中存在新的 0 Day NTLM 哈希泄露漏洞
Windows 7 至 Windows 11 中存在新的 0 Day NTLM 哈希泄露漏洞 原创 很近也很远 网络研究观 2024-12-07 10:02 0patch 的研究人员发现了一个零日漏洞,该漏洞影响所有受支持的 Windows Workstation 和 Server 版本,从 Windows 7 和 Server 2008 R2 到最新的 Windows 11(v24H2)和 Se
继续阅读12月31日截止 | “看雪漏洞小组”集结!组团冲击华为漏洞更高奖励
12月31日截止 | “看雪漏洞小组”集结!组团冲击华为漏洞更高奖励 小雪 看雪学苑 2024-12-07 10:00 启动“看雪漏洞小组”,冲刺更高奖励! FIGHTING 活动期间( 11月15日-12月31日)欢迎技术人员加入我们“看雪漏洞小组”,组团参与提交漏洞,实现更高收益! 组团挖洞!共同守护鸿蒙安全 1 活动内容 华为非常重视产品和业务安全,最近推出了一项安全奖励计划,旨在激励白帽子
继续阅读「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞
「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-07 09:53 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读Docker0day,影响近4000台主机
Docker0day,影响近4000台主机 hongzh0 Hacking Group 0434 2024-12-07 07:06 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任 系统描述 DockerUI 是一个基于 Docker API 的开源 web 应用程序,它提供了大部分等同于 Doc
继续阅读Windows 中存在严重0day,可导致用户凭据泄露
Windows 中存在严重0day,可导致用户凭据泄露 独眼情报 2024-12-07 06:15 我们的研究人员发现了一个影响从Windows 7和Server 2008 R2到最新的Windows 11 v24H2和Server 2022的所有Windows工作站和服务器版本的安全漏洞。攻击者只需让用户在Windows资源管理器中查看恶意文件,就可以获取用户的NTLM凭据 – 例如
继续阅读高质量企业+eduSRC漏洞挖掘实战资料分享
高质量企业+eduSRC漏洞挖掘实战资料分享 原创 Mstir 星悦安全 2024-12-07 05:54 点击上方 蓝字 关注我们 并设为 星标 part 01 一、SRC挖掘 BETTER 1.平时挖掘SRC的时候,时常感觉挖不到洞?其实应该是思路没走正,走正了思路,方能快速挖掘出多种不同类型的漏洞。其实现在SRC挖掘里,常规漏洞还是占比较大的比例,但逻辑漏洞,从几年前开始就大展拳脚了,现在也
继续阅读