CSRF漏洞
CSRF漏洞 原创 EBCloud EBCloud 2024-12-04 08:00 一、什么是CSRF漏洞 CSRF漏洞允许攻击者在用户不知情的情况下,利用用户在已登录状态下的身份验证信息(如cookie、会话等),向服务器发送恶意请求,从而执行未经用户授权的操作。这些操作可能包括更改密码、删除账户、进行金融交易等,可能导致用户的信息泄露、财产损失或其他不可挽回的后果。 图片来源于百度 二、CS
继续阅读月度归档: 2024 年 12 月
占省师傅:从零基础到单个漏洞1.5万元,8个月他用努力书写了自己的“封神之路”
占省师傅:从零基础到单个漏洞1.5万元,8个月他用努力书写了自己的“封神之路” 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2024-12-04 07:47 01**** “努力型”选手 占省师傅是我印象极其深刻的一位学员。为什么?因为他不仅是4月1日开课的第一批学员之一,更是一位让我深深感到敬佩的“努力型”高手。 在学习的过程中,他无数次向我请教漏洞挖掘的经验和技巧。他
继续阅读雷神众测漏洞周报2024.11.25-2024.12.01
雷神众测漏洞周报2024.11.25-2024.12.01 原创 雷神众测 雷神众测 2024-12-04 07:44 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读推荐 10 个漏洞管理工具,漏洞猎手必备!
推荐 10 个漏洞管理工具,漏洞猎手必备! 原创 wljslmz瑞哥 网络技术联盟站 2024-12-04 07:15 公众号:网络技术联盟站 随着网络攻击的日益复杂,漏洞管理已经成为保障信息安全和保护企业资产的核心环节。漏洞管理工具能够有效地帮助企业及时发现、评估、修复系统中的安全漏洞,从而降低数据泄露、网络攻击等风险。漏洞管理不仅仅是一个技术层面的任务,它涉及到企业的各项安全操作,包括资产发
继续阅读新型漏洞攻击利用服务器进行恶意更新
新型漏洞攻击利用服务器进行恶意更新 胡金鱼 嘶吼专业版 2024-12-04 06:00 一组被称为“NachoVPN”的漏洞允许流氓 VPN 服务器在未修补的 Palo Alto 和 SonicWall SSL-VPN 客户端连接到它们时安装恶意更新。 安全研究人员发现,威胁者可以利用社交工程或网络钓鱼攻击中的恶意网站或文档,诱骗潜在目标将其 SonicWall NetExtender 和 Pa
继续阅读四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览
四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览 安全牛 2024-12-04 05:23 点击蓝字·关注我们 / aqniu 新闻速览 •四大行业协会同日发布安全提示声明:审慎采购美国芯片 •《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见 •欧洲理事会通过新法案加强
继续阅读【成功复现】JeecgBoot SQL注入漏洞(CVE-2024-48307)
【成功复现】JeecgBoot SQL注入漏洞(CVE-2024-48307) 原创 弥天安全实验室 弥天安全实验室 2024-12-04 04:44 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。采
继续阅读【漏洞复现】某平台-tag-sql注入漏洞
【漏洞复现】某平台-tag-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-04 04:09 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由
继续阅读ProFTPD 权限提升漏洞(CVE-2024-48651)安全风险通告
ProFTPD 权限提升漏洞(CVE-2024-48651)安全风险通告 奇安信 CERT 2024-12-04 03:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ProFTPD 权限提升漏洞 漏洞编号 QVD-2024-48879,CVE-2024-48651 公开时间 2024-11-29 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.1 威胁类型
继续阅读一文学会fastjson漏洞
一文学会fastjson漏洞 simple学安全 simple学安全 2024-12-04 02:55 目录 漏洞简介 fastjson是一个高性能的json解析器和生成器,广泛用于Java项目中。fastjson允许开发者自定义反序列化行为,以便可以根据json中的不同字段自动创建不同类型的对象。 在Java中,反序列化是将字节数据(通常是json格式)转化回对象的过程。然而,fastjson在
继续阅读知名开源监控系统Zabbix存在SQL 注入漏洞
知名开源监控系统Zabbix存在SQL 注入漏洞 天唯科技 天唯信息安全 2024-12-04 02:38 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击,进而利
继续阅读智联云采 SRM2.0 receiptDetail SQL注入漏洞
智联云采 SRM2.0 receiptDetail SQL注入漏洞 Superhero nday POC 2024-12-04 02:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读CVE-2017-7504 JBOSS反序列化漏洞复现
CVE-2017-7504 JBOSS反序列化漏洞复现 原创 Kiand 网安知识库 2024-12-04 02:00 一、漏洞描述 JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 二、漏洞环境搭
继续阅读Veeam 警告服务提供商控制台中存在严重 RCE 漏洞
Veeam 警告服务提供商控制台中存在严重 RCE 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-04 01:00 导读 Veeam 今天发布了安全更新,以解决两个服务提供商控制台 (VSPC) 漏洞,其中包括在内部测试期间发现的严重远程代码执行 (RCE)。 该公司将 VSPC 描述为远程管理的 BaaS(后端即服务)和 DRaaS(灾难恢复即服务)平台,服务提供商控制台用来监控客户备
继续阅读Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御
Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御 原创 繁星01 安全君呀 2024-12-04 00:10 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请
继续阅读漏洞预警 | 致翔OA SQL注入漏洞
漏洞预警 | 致翔OA SQL注入漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 致翔OA是一款专注于协同办公与企业管理的办公自动化系统,旨在提升企业管理效率和信息化水平。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 致翔OA的/OpenWind
继续阅读漏洞预警 | Eking管理易任意文件上传漏洞
漏洞预警 | Eking管理易任意文件上传漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 EKing管理易是广州易凯软件技术有限公司专为广告制品制作企业开发的一款管理软件产品。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意文件**** 简述: EKing管理易的/B
继续阅读漏洞预警 | 7-Zip整数下溢漏洞
漏洞预警 | 7-Zip整数下溢漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – CVE-2024-11477 0x01 危险等级 – 高危 0x02 漏洞概述 7-Zip是一款免费开源文件归档应用程序,具有高压缩比,可用于压缩和解压文件,支持多种存档格式。 0x03 漏洞详情 CVE-2024-11477 漏洞类型: 整数下溢 影响: 执行任
继续阅读VMware发布更新,修复墨云科技报告的高危漏洞
VMware发布更新,修复墨云科技报告的高危漏洞 关键信息基础设施安全保护联盟 2024-12-03 23:30 **VMware发布更新,修复墨云科技报告的漏洞CVE-2024-38830、CVE-2024-38831。墨云建议广大用户做好资产自查以及预防工作,以免遭受恶意攻击。 墨云安全应急响应中心 时间:2024.12.03 漏洞描述 墨云科技VLab实验室监测到VMware官方发布了VMS
继续阅读【神兵利器】Jeecg综合漏洞利用工具
【神兵利器】Jeecg综合漏洞利用工具 MInggongK 七芒星实验室 2024-12-03 23:05 项目介绍 Jeecg综合漏洞利用工具程序采用javafx开发,环境JDK 1.8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规 漏洞支持 – jeecg-boot queryFieldBySql远程命令执行漏洞 jeecg-boot testConnec
继续阅读发现利用LogoFAIL漏洞的BootKitty Linux UEFI启动工具包
发现利用LogoFAIL漏洞的BootKitty Linux UEFI启动工具包 鹏鹏同学 黑猫安全 2024-12-03 23:03 ESET安全研究人员最近发现了第一个专门攻击 Linux 系统的 UEFI 启动工具包,名为 Bootkitty。该工具包允许攻击者禁用 Linux 内核的签名验证功能,并在 Linux 初始化过程中预加载两个未知的 ELF 可执行文件。11 月 2024 年,一
继续阅读「漏洞复现」用友U8 CRM lead/leadconversion.php SQL注入漏洞
「漏洞复现」用友U8 CRM lead/leadconversion.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-03 22:02 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读单兵漏洞测试工具 — Yakit
单兵漏洞测试工具 — Yakit W4nk3r Web安全工具库 2024-12-03 16:01 Yakit,一个集成化的单兵漏洞测试工具,也是我用起来较为顺手的一个测试工具, 今天想从最基本的环境配置到漏洞挖掘中的实战一步步进行讲解 环境配置:yakit提供两种mitm中间人攻击环境配置 一种是无环境配置,另一种是有环境配置 无环境配置:电脑上下载谷歌浏览器,然后点击免配置启动,直
继续阅读CVE-2024-42327 Zabbix 严重漏洞POC已公开!
CVE-2024-42327 Zabbix 严重漏洞POC已公开! 原创 一个不正经的黑客 一个不正经的黑客 2024-12-03 16:01 CVE-2024-42327 Zabbix API SQL注入漏洞公开POC 漏洞情况 官方通报: https://support.zabbix.com/browse/ZBX-25623 漏洞类型: SQL 注入(SQL Injection, CWE-89
继续阅读【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422)
【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422) 飓风网络安全 2024-12-03 15:20 漏洞描述: Dеll NеtWоrkеr,版本1910包含一个通过用户控制的密钥绕过授权的漏洞,未经认证的攻击者如果能够远程访问,可能会利用这个漏洞导致信息泄露,攻击者可能通过远程访问,利用用户控制的密钥绕过授权,导致信息泄露。影响产品:N/A<=NetWor
继续阅读searchsploit漏洞辅助利用工具
searchsploit漏洞辅助利用工具 原创 simeon的文章 小兵搞安全 2024-12-03 15:04 在提权过程中需要通过掌握的信息来对系统、软件等存在的漏洞进行搜索,获取其利用的poc,通过编译后,实施提权。searchsploit提供漏洞本地和在线查询,是渗透测试中提权的重要武器。 1.1searchsploit简介 Exploit Database(https://github.
继续阅读GitLab漏洞汇总
GitLab漏洞汇总 实战安全研究 2024-12-03 14:37 本文首发于freebuf,原文地址: https://www.freebuf.com/vuls/411902.html 申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 0x00 介绍 GitLab是一款Ruby开发的Git项目管理平台,主要针
继续阅读自助彩票机成“提款机”?3人利用系统漏洞窃取220余万元
自助彩票机成“提款机”?3人利用系统漏洞窃取220余万元 检察日报 商密君 2024-12-03 14:05 近年来,自助彩票机广受年轻消费者喜爱,是一种新型彩票销售方式。它分布范围广,购买便利,24小时服务。消费者可以随时在自助彩票机上买到自己喜欢的彩票产品。其中即开型彩票,就是俗称的“刮刮乐”,是最受年轻人追捧的彩票类型。没想到,于某、黄某、李某竟利用自助彩票机系统延迟的漏洞,窃取资金220余
继续阅读漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞
漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞 小白菜安全 小白菜安全 2024-12-03 12:11 漏洞描述 时空精益仓储管理系统(时空WMS)可以达到简化工作流程,提高仓库作业质量和工作效率的目的。该系统SaveCrash.ashx存在文件上传漏洞。 资产信息 fofa:body=”SKControlKLForJson.ashx̶
继续阅读【复现】泛微 e-cology前台SQL注入漏洞风险通告
【复现】泛微 e-cology前台SQL注入漏洞风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-03 11:20 赛博昆仑漏洞安全通告- 泛微 e-cology前台SQL注入漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大
继续阅读