【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站
【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站 原创 pbuff07 增益安全 2024-12-02 10:34 ZoomEye用来干啥的不多说了,没听过没见过的直接点下方链接学习下~ 如何用ZoomEye助力小白挖到第一个漏洞 除了可以用来发现资产、找漏洞外,还可以主动监控全网哪些网站被黑了,对于甲方或者监管可以快速监控和响应,下面介绍几个办法(也是目前我所采用的方式)。 1、使用被黑的
继续阅读月度归档: 2024 年 12 月
每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞
每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞 交大捷普 2024-12-02 10:14 2024[ 每周网安资讯 ]11.26-12.2 网安资讯 1、国家“2024网络安全创新发展大会”在京顺利召开 2024年11月27日,由《信息安全研究》杂志社主办,光明网网络安全频道&数字化频道、中移互联网有限公司、蚂蚁科技集团股份有限公司协办的“2
继续阅读微软修复已遭活跃利用的漏洞
微软修复已遭活跃利用的漏洞 THN 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软修复了位于AI、云、企业资源规划和Partner Center 服务中的四个漏洞,其中一个已遭在野利用。 该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微
继续阅读VMware 修复 Aria Operations 中的多个高危漏洞
VMware 修复 Aria Operations 中的多个高危漏洞 Ryan Naraine 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周二,VMware 修复了位于产品 Aria Operations 中的至少5个安全漏洞。 VMware 在这云IT运维平台上发现了五个漏洞,并提醒用户称恶意黑客可构造 exp,实现提权或发动XSS攻击。
继续阅读API测试思路及crAPI漏洞靶场复现
API测试思路及crAPI漏洞靶场复现 原创 LULU 红队蓝军 2024-12-02 10:03 环境搭建 地址:https://github.com/OWASP/crAPI curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml
继续阅读安全热点周报:黑客利用 ProjectSend 漏洞攻击暴露后门的服务器
安全热点周报:黑客利用 ProjectSend 漏洞攻击暴露后门的服务器 奇安信 CERT 2024-12-02 09:48 安全资讯导视 • 国家能源局印发《关于加强电力安全治理 以高水平安全保障新型电力系统高质量发展的意见》 • 网站漏洞致用户信息长期被爬,两家美国保险商被罚超8100万元 • 网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 PART01 漏洞情报
继续阅读【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告
【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告 奇安信 CERT 2024-12-02 09:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix SQL注入漏洞 漏洞编号 QVD-2024-48731,CVE-2024-42327 公开时间 2024-11-27 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.
继续阅读Patchwork(白象)APT组织Protego远控木马攻击场景复现
Patchwork(白象)APT组织Protego远控木马攻击场景复现 原创 T0daySeeker T0daySeeker 2024-12-02 09:40 文章首发地址: https://xz.aliyun.com/t/16392 文章首发作者: T0daySeeker 概述 在上一篇《最新Patchwork(白象)Protego远控木马接收某远控指令后将导致远控木马无法响应后续远控指令》文章
继续阅读非管理员就可访问!Zabbix SQL注入漏洞安全风险通告
非管理员就可访问!Zabbix SQL注入漏洞安全风险通告 应急响应中心 亚信安全 2024-12-02 09:34 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,在Zabbix中披露了一个SQL注入漏洞(CVE-2024-42327)。Zabbix前端的CUser类中存在一个SQL注入漏洞,具体位于addRelatedObjects函数中。该函数由CUser.get函数调用,任何具有
继续阅读时空WMS-仓储精细化管理系统两处文件上传致RCE漏洞复现
时空WMS-仓储精细化管理系统两处文件上传致RCE漏洞复现 原创 红岸基地赵小龙 暗影网安实验室 2024-12-02 09:25 产品简介 时空WMS-仓储精细化,管理系统Q是一款高效、智能的仓储管理工具,旨在帮助企业实现仓库的精细化管理和高效运营。由郑州时空软件开发,专注于以数字化、智能化推动企业进步。该系统基于先进的仓储管理理念和技术架构,融合了物联网、移动互联等前沿技术,实现了对仓库内物资
继续阅读【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具
【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具 Mstir 星悦安全 2024-12-02 08:58 点击上方 蓝字 关注我们 并设为 星标 0x01 工具简介 集成漏洞系统包括:用友、泛微、蓝凌、万户、致远、通达、帆软、金蝶、金和、红帆、宏景、浪潮、普元、亿赛通、海康威视、飞企互联、大华DSS、jeecg-boot 集成memshell功能:用友NC、用友U8C、亿赛通、帆软
继续阅读海信智能公交企业管理系统 apply.aspx SQL注入漏洞
海信智能公交企业管理系统 apply.aspx SQL注入漏洞 Superhero nday POC 2024-12-02 08:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞(CVE-2024-0012)
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞(CVE-2024-0012) Superhero nday POC 2024-12-02 07:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读又一款 all in one 综合漏洞利用工具
又一款 all in one 综合漏洞利用工具 永恒之锋实验室 Eonian Sharp 2024-12-02 07:40 声明 本公众号分享的安全工具和项目均来源于网络,仅供学术交流,请勿直接用于任何商业场合和非法用途。如用于其它用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 介绍 一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE
继续阅读SSP-高效 Spring 框架漏洞扫描与利用工具
SSP-高效 Spring 框架漏洞扫描与利用工具 原创 sspsec SSP安全研究 2024-12-02 07:35 SSP – Spring框架漏洞扫描工具 🚀 简介 在日常渗透工作中,遇到很多Spring框架搭建的服务,很多都是Whitelabel Error Page页面,对于Spring的扫描工具github中也有很多项目 python的 java的,但使用go的就很少。因
继续阅读当信息安全成为廉价商品的时候,崩盘是迟早的!
当信息安全成为廉价商品的时候,崩盘是迟早的! 原创 JUN哥 君说安全 2024-12-02 07:14 ❤* 请点击上方 ⬆ ⬆ ⬆ 关注*君说安全!❤ “ 网络安全不应该是廉价的商品,更不应该成为普适的产品,想要安全,还是要付出一定的成本才行,并且是持续的成本。 ” 作为从业网络安全多年的我认为, 安全一定不是廉价的,包括网络安全安全产品和网络安全服务。但是,现在网络安全行业被做的很低价,甚至
继续阅读漏洞管理挑战与自动化解决方案探讨
漏洞管理挑战与自动化解决方案探讨 原创 Mirko Zorz 信息安全D1net 2024-12-02 07:03 点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 在采访中,Nucleus Security的CEO Steve Carter深入探讨了漏洞管理面临的挑战,如漏洞优先级排序、补丁延迟及合规要求。随着企业基础设施复杂化和攻击面扩大,漏洞数量激增,安全团队难以应对。Ca
继续阅读泛微E-Mobile-client_do-rce【漏洞复现】20241202
泛微E-Mobile-client_do-rce【漏洞复现】20241202 原创 星河 网安探索队 2024-12-02 07:03 点 击 上 方 公 众 号 关 注 我 们 建议大家把公众号“网安探索队”设为星标,否则可能就看不到啦! 因 为 公 众 号 现 在 只 对 常 读 和 星 标 的 公 众 号 才 能 展 示 大 图 推 送 。 操 作 方 法 : 点 击 右 上 角 的 【 .
继续阅读Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览
Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览 安全牛 2024-12-02 05:04 点击蓝字·关注我们 / aqniu 新闻速览 •隐私监管审查不断加码,Tor项目或启动WebTunnel网桥扩展计划 •澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付 •Linux系统警报:首个UEFI bootk
继续阅读从0到1掌握设备漏洞挖掘核心技术
从0到1掌握设备漏洞挖掘核心技术 3bytes 3072 2024-12-02 04:25 在当今的安全领域,设备漏洞挖掘能力正变得越来越重要。每一个重大安全事件的背后,都可能潜藏着设备安全漏洞。但这个领域的学习一直存在着巨大的挑战:资料零散、缺乏系统性、理论与实践脱节。 你是否遇到过这些问题: – 工具会用了,但遇到实际设备就无从下手? 看了很多CTF题,但真实设备漏洞挖掘依然一头雾
继续阅读【漏洞复现】某平台-TMScmQuote-GetFile-readfile任意文件读取漏洞
【漏洞复现】某平台-TMScmQuote-GetFile-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-02 03:18 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此
继续阅读任子行网络安全审计系统 log_fw_ips_scan_jsondata SQL注入漏洞
任子行网络安全审计系统 log_fw_ips_scan_jsondata SQL注入漏洞 Superhero nday POC 2024-12-02 02:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请
继续阅读发货100cms存在SSRF漏洞分析
发货100cms存在SSRF漏洞分析 原创 猫鼠信安 猫鼠信安 2024-12-02 01:51 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大
继续阅读【漏洞复现】OfficeWeb365 SaveDraw 任意文件上传getshell漏洞
【漏洞复现】OfficeWeb365 SaveDraw 任意文件上传getshell漏洞 原创 清风 白帽攻防 2024-12-02 01:10 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 OfficeWeb365 是一款专业的云服务平台,专注于提供 Of
继续阅读【漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2024-45195)
【漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2024-45195) 原创 Z0安全 Z0安全 2024-12-02 00:42 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请遵守网络安全法律。本次仅用于测试,请完成测试后24小时删除,请勿用于商业用途。 01.简介
继续阅读一个半自动化springboot打点工具,内置目前springboot所有漏洞
一个半自动化springboot打点工具,内置目前springboot所有漏洞 wh1t3zer 夜组安全 2024-12-02 00:03 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: ba
继续阅读「漏洞复现」九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
「漏洞复现」九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 冷漠安全 冷漠安全 2024-12-02 00:03 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使
继续阅读漏洞预警 | SRM智联云采系统SQL注入漏洞
漏洞预警 | SRM智联云采系统SQL注入漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 智互联科技有限公司的SRM智联云采系统是一款专业的数字采购平台,旨在助力企业实现采购数字化转型,提升供应链管理的效率和协同能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息
继续阅读漏洞预警 | PAN-OS Web管理界面身份认证绕过漏洞
漏洞预警 | PAN-OS Web管理界面身份认证绕过漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – CVE-2024-0012 0x01 危险等级 – 高危 0x02 漏洞概述 PAN-OS是运行Palo Alto Networks下一代防火墙的软件。 0x03 漏洞详情 CVE-2024-0012 漏洞类型: 身份认证绕过 影响: 越权访
继续阅读【0day】电子图书阅读平台downFile存在SQL注入漏洞
【0day】电子图书阅读平台downFile存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-01 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 电子图书阅读平台提供了超过千万册图书的在线阅读服务。其界面简洁,搜索功能强大,用户只需输入书名即可快速找到对应的电子书资源,并可选择多种格式进行下载阅读。它支持中文
继续阅读