渗透测试 — Waf绕过补充和其他漏洞和代码审计
渗透测试 — Waf绕过补充和其他漏洞和代码审计 网络安全者 2024-12-26 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/689d7295eff2 讨论 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.q
继续阅读月度归档: 2024 年 12 月
最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测
最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-26 16:00 0x01 工具介绍 NacosExploit是一款用于检测Nacos服务中已知漏洞的工具,支持自定义内存马功能,使渗透测试更加灵活。通过简单的FOFA查询语法,可以快速识别目标Nacos实例的认证绕过等问题。 下载地址在末尾 0x02 功能简介支持漏洞| PoC | Ex
继续阅读WordPress File Upload插件任意文件读取漏洞(CVE-2024-9047)批量检测脚本
WordPress File Upload插件任意文件读取漏洞(CVE-2024-9047)批量检测脚本 iSee857 网络安全者 2024-12-26 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工
继续阅读Jenkins漏洞利用精华总结
Jenkins漏洞利用精华总结 原创 simeon的文章 小兵搞安全 2024-12-26 14:33 1.1.1简介 1.Jenkins简介 Jenkins是一个开源软件项目,最开始被称作 Hudson,基于Java开发的一种使用非常广泛的持续集成工具,用于监控持续重复的工作。由于易于使用并且具有良好的扩展性,Jenkins深受用户喜爱,在持续集成领域的市场份额居于主导地位,其被各种规模的团队用
继续阅读蓝凌EKP系统thirdImSyncForKKWebService接口存在任意文件读取漏洞 附POC
蓝凌EKP系统thirdImSyncForKKWebService接口存在任意文件读取漏洞 附POC 2024-12-26更新 南风漏洞复现文库 2024-12-26 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌EK
继续阅读【漏洞预警】libxml2 XML外部实体注入漏洞(CVE-2024-40896)
【漏洞预警】libxml2 XML外部实体注入漏洞(CVE-2024-40896) cexlife 飓风网络安全 2024-12-26 13:25 漏洞描述: libxml2是一个开源、高性能且应用广泛的XML解析库,它基于标准的ANSI C库完成,提供了丰富的API接口,支持XML文档的读取、创建、修改、验证和查询等功能,并兼容多种操作系统,包括Linux、Windows、macOS和其他类UN
继续阅读D-LINK DIR-815多次溢出漏洞
D-LINK DIR-815多次溢出漏洞 原创 curve SecNL安全团队 2024-12-26 12:31 title: D-LINK DIR-815多次溢出漏洞 author: 1ens tags: – 漏洞复现
继续阅读一个Nmap命令扫出企业漏洞?资深黑客总结的4大扫描神器
一个Nmap命令扫出企业漏洞?资深黑客总结的4大扫描神器 原创 VlangCN HW安全之路 2024-12-26 12:07 引言 在当今日益复杂的网络环境下,网络扫描已成为网络安全管理的基石。作为IT专业人员,我们需要随时掌握网络中的设备状况,无论是通过网络架构文档还是主动扫描。网络扫描不仅能帮助识别网络中的设备,更能检测未授权设备、开放端口以及潜在的安全漏洞。本文将深入介绍几款实用的网络扫描
继续阅读9.9分的SQL注入漏洞,可获admin权限
9.9分的SQL注入漏洞,可获admin权限 流苏 FreeBuf 2024-12-26 11:02 Apache软件基金会(ASF)已发布安全更新,修复了Traffic Control中的一个关键安全漏洞。若此漏洞被成功利用,攻击者便能在数据库中执行任意结构化查询语言(SQL)命令。该SQL注入漏洞被标识为CVE-2024-45387,在CVSS评分系统中获得了9.9分(满分为10分)。 项目维
继续阅读Apache Traffic Control存在严重的SQL注入漏洞,可在数据库中执行任意命令
Apache Traffic Control存在严重的SQL注入漏洞,可在数据库中执行任意命令 综合编译 代码卫士 2024-12-26 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache 软件基金会 (ASF) 已发布安全更新,修复了 Traffic Control 中的一个严重漏洞CVE-2024-45387(CVSS评分9.9)。该漏洞可导致攻击者在数据库中执行任
继续阅读大众车机系统现漏洞:黑客能获取GPS等隐私,已修复
大众车机系统现漏洞:黑客能获取GPS等隐私,已修复 安世加 安世加 2024-12-26 10:15 近日,大众汽车(Volkswagen)的车载系统安全性问题引发了广泛关注。在欧洲举办的一场知名网络安全盛会——Black Hat Europe 2024上,安全研究人员披露了大众及其子品牌斯柯达车辆中的12项重大安全漏洞。 这些漏洞的严重性不容忽视,它们允许攻击者通过自制的蓝牙设备,无需经过正常的
继续阅读【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896)
【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896) 启明星辰安全简讯 2024-12-26 10:08 一、漏洞概述 漏洞名称 libxml2 XML外部实体注入漏洞 CVE ID CVE-2024-40896 漏洞类型 XXE 发现时间 2024-12-25 漏洞评分 9.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/E
继续阅读系统0day安全-Windows平台漏洞挖掘(第5期)
系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2024-12-26 09:59 Windows操作系统广泛应用于各类企业和个人设备中,其安全性至关重要。 · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌握Windows安全防护的关键技能。 核心: 1.帮助安全从业者跟进行业前沿技术,提升个人基
继续阅读PWN入门:三打竞态条件漏洞-TOCTOU
PWN入门:三打竞态条件漏洞-TOCTOU 福建炒饭乡会 看雪学苑 2024-12-26 09:59 有资源就有竞争,在计算机的世界中也是如此,Linux系统中最为常见的一种情况就是多个线程使用同一资源带来争抢问题。 那么我们应该怎么让恶意程序赢得资源的竞争并做出一些坏事呢?那么是不是只能借助线程达到目的,进程就不行呢? 首先我们先了解一下Linux中线程与进程。 Linux中的线程 在计算机系统
继续阅读创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测
创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-26 09:56 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读操作系统主机安全测试:脆弱点与漏洞分析
操作系统主机安全测试:脆弱点与漏洞分析 小智 智检安全 2024-12-26 09:45 免责声明: 涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担! 一、引言 在当今数字化飞速发展的时代,信息技术如同纵横交错的神经网络,深度嵌入社会运行的每一寸肌理。从支撑跨国企业全球协同运作的复杂信息架构,到守护普通民众日常线上交互的各类应用平台,系统安全已然
继续阅读「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞
「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞 冷漠安全 冷漠安全 2024-12-26 09:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读【PoC】CVE-2024-50379 (9.8)Tomcat竞态条件漏洞深度分析及 PoC
【PoC】CVE-2024-50379 (9.8)Tomcat竞态条件漏洞深度分析及 PoC 独眼情报 2024-12-26 09:33 应急响应比赛开始了,就差你了🐶 solarsec,公众号:solar应急响应团队第一届“Solar杯”·应急响应挑战赛比赛报名开始! 在网络安全领域不断发展的今天,及时发现并应对漏洞对保护敏感系统至关重要。最近,在全球使用最广泛的 Web 应用服务器之一 Apa
继续阅读从SRC漏洞挖掘到红队综合利用的思路转变
从SRC漏洞挖掘到红队综合利用的思路转变 原创 487DonkeySec 487Donkey Sec 2024-12-26 09:15 红队第一期的培训已经结束,跟学员了解到一些情况,做渗透测试、挖SRC都能频频出漏洞,但并不了解如何去将漏洞深入的 综合 利用。 在日常的渗透测试与漏洞挖掘过程中,安全研究人员往往会尽量做到点到为止,仅仅证明漏洞的存在即可。然而,在实际的攻击场景中,漏洞挖掘仅仅是第
继续阅读4F级民航机场如何完善实战能力建设?
4F级民航机场如何完善实战能力建设? 诸葛象 斗象智能安全 2024-12-26 05:31 “智慧机场”建设已然成为我国民航业数字化升级的核心驱动力与显著趋势,以其丰富的旅客服务应用引领行业创新。位列全国排名前五的某4F级国际机场,作为新世代智慧机场的典型代表,随着数字化应用的广泛部署,其网络环境呈现出设备种类繁多、应用系统复杂的特点,极易遭受网络威胁。 为应对挑战,该国际机场选择与斗象科技安全
继续阅读工具集:EZ【多功能跨平台综合漏洞扫描器】
工具集:EZ【多功能跨平台综合漏洞扫描器】 风铃Sec 2024-12-26 04:28 工具介绍 EZ是一款集信息收集、端口扫描、服务暴破、URL爬虫、指纹识别、被动扫描为一体的跨平台漏洞扫描器,渗透测试中,可辅助发现常见的SQL注入、XSS、XXE、SSRF之类的漏洞,通过内置的POC辅助发现Apache Shiro、RabbitMQ、Struts2之类的通用组件漏洞,以及某服VPN、通达OA
继续阅读易宝OA GetUDEFStreamID SQL注入漏洞
易宝OA GetUDEFStreamID SQL注入漏洞 Superhero nday POC 2024-12-26 04:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读【工具分享】超好用Nuclei 图形化GUI管理工具+14w poc
【工具分享】超好用Nuclei 图形化GUI管理工具+14w poc 原创 Mstir 星悦安全 2024-12-26 04:06 点击上方 蓝字 关注我们 并设为 星标 0x01 Wavely介绍 wavely是一个好用的nuclei GUI POC管理工具,且支持诸多功能,能实现对目标站点的多态化扫描,且版本更迭较快. 下载地址在文末,可直接拉至底部获取 实现 nuclei poc 管理的
继续阅读锐捷网络云管理平台爆出严重漏洞,可从云端劫持WiFi热点
锐捷网络云管理平台爆出严重漏洞,可从云端劫持WiFi热点 GoUpSec 2024-12-26 02:14 近日,网络安全研究人员在锐捷网络的云管理平台中发现多个严重漏洞,这些漏洞可能使攻击者全面控制网络设备,进而对企业和个人用户的网络安全构成重大威胁。 从云端入侵WiFi接入点 来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指出,这些漏洞不仅影响锐
继续阅读【漏洞复现】某平台-article-abstract-delay-sql注入漏洞
【漏洞复现】某平台-article-abstract-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-26 02:11 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的
继续阅读【漏洞通告】Operations Bridge Manager 外部实体注入
【漏洞通告】Operations Bridge Manager 外部实体注入 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Opentext$™ Operations Bridge Manager中的不正确限制的HTML外部实体引用漏洞允许操作输入数据。该漏洞可能会被利用来获取机密信息。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Operations Bri
继续阅读【漏洞通告】IBM Cognos Analytics Mobile for Android 加密算法过弱
【漏洞通告】IBM Cognos Analytics Mobile for Android 加密算法过弱 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 IBM Cognos Analytics Mobile for Android 1.1.14使用弱于预期的加密算法,可能允许攻击者解密高度敏感的信息02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM Cogn
继续阅读【漏洞通告】Craft CMS 远程代码执行漏洞
【漏洞通告】Craft CMS 远程代码执行漏洞 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Craft CMS存在一个远程的远程代码执行漏洞,如果受影响版本的Craft CMS用户的 php.ini 配置文件中启用了”register_argc_argv”,未授权攻击者可以利用该漏洞执行任意代码,导致服务器失陷。02 漏洞处置综合处置
继续阅读【漏洞通告】Adobe ColdFusion 任意文件读取漏洞
【漏洞通告】Adobe ColdFusion 任意文件读取漏洞 安迈信科应急响应中心 2024-12-26 02:09 01 漏洞概况 Adobe 发布的紧急安全更新中显示,修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件,从而可能导致敏感数据和配置文件泄露。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Adobe Col
继续阅读某捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击
某捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击 独眼情报 2024-12-26 02:01 网络安全研究人员发现某捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示: “这些漏洞既影响 Reyee 平台,也影响 Reyee OS 网络设备。如果这些漏洞被利用,恶
继续阅读