使用自动化工具寻找sql注入漏洞
使用自动化工具寻找sql注入漏洞 马哥网络安全 2025-01-14 09:00 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法
继续阅读月度归档: 2025 年 1 月
【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)
【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282) 启明星辰安全简讯 2025-01-14 08:17 一、漏洞概述 漏洞名称 Ivanti多款产品缓冲区溢出漏洞 CVE ID CVE-2025-0282 漏洞类型 缓冲区溢出 发现时间 2025-01-14 漏洞评分 9.0 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读云连POS-ERP管理系统 download.action 任意文件读取漏洞
云连POS-ERP管理系统 download.action 任意文件读取漏洞 Superhero nday POC 2025-01-14 08:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读泛洪攻击模拟复现详解
泛洪攻击模拟复现详解 原创 OlIyDg 泷羽Sec-shinyer安全 2025-01-14 00:55 文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负 我这篇文章讲的是现在比较常见的攻击方式SYN FLOOD泛洪放大攻击 SYN 洪水(半开连接攻击)是一种拒绝服务 (D
继续阅读无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击
无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-14 00:39 近期,网络安全从业人员间流传着一个引起广泛关注的事件:某提权工具被植入后门,导致工具使用者的身份信息和敏感数据遭到泄露。根据现有的信息,初步判断此次攻击背后可能是东南亚某APT组织——海莲花(Lotus Blossom)所为。 Visual
继续阅读macos高危漏洞CVE-2024-54498 解析+复现
macos高危漏洞CVE-2024-54498 解析+复现 原创 棉花糖糖糖 棉花糖fans 2025-01-13 19:23 前言: 前两天看到github有公开一个mac的cve,影响了15.2以下的版本,刚好我也用的mac,看看会不会影响到我,特抽时间看了一下,有搞错的地方麻烦大佬补充修改。 原理: 先说下前情提要,苹果的macos有个沙箱机制,每个应用都只能访问自己独立的沙箱数据,如果需要
继续阅读【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务
【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务 cexlife 飓风网络安全 2025-01-13 14:11 漏洞描述: Vim官方修复了Vim中的一处缓冲区溢出漏洞,该漏洞是由于Vim没有正确结束视觉模式,可能会尝试访问超出缓冲区行尾的位置,用户必须在执行 “:all” 命令时开启了视觉模式时才会触发此漏洞。针对此漏洞,官方已经发布9.1.1003版本,建议受影响用户及时升级到漏洞修复版本。
继续阅读Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍
Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍 原创 VlangCN HW安全之路 2025-01-13 13:50 Nuclei 是一款高效的漏洞扫描工具,用于检查现代应用程序、基础设施、云平台和网络,以帮助识别和修复可被利用的漏洞。 Nuclei 的核心是基于 YAML 模板 的设计。这些模板以简单明了的 YA
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具
【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具 原创 儒道易行 儒道易行 2025-01-13 12:00 人生其实就是一场必然的死亡练习,但是人类何尝因为注定要死亡而放弃奋斗呢 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与
继续阅读识别漏洞成了大海捞针?
识别漏洞成了大海捞针? 原创 做安全的小明同学 大山子雪人 2025-01-13 11:04 2025.1月份的android公告,最大的变化就是少了漏洞对应patch的链接 没有了patch,就没法分析漏洞的成因,也就无从学起。也不知道漏洞什么时候修复的,什么时候commit到aosp的。头大,简直大海捞针。 由于不知道时间范围,只能挨个commit爬了 commit收集入口: https://
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞
GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞
每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞 交大捷普 2025-01-13 10:14 2024[ 每周网安资讯 ]1.7-1.13 网安资讯 1、我国牵头提出的国际标准《信息技术 信息安全事件管理 第4部分:协同》正式发布 近日,我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分:协同》(Information tec
继续阅读成为看雪讲师,开启技术分享的高光时刻
成为看雪讲师,开启技术分享的高光时刻 小雪 看雪学苑 2025-01-13 10:07 随着技术的发展,网络攻击、数据泄露等安全威胁也日益严峻,网络安全问题已经成为全球关注的焦点。在这样的背景下,培养和储备优秀的网络安全人才显得尤为迫切。看雪作为网络安全领域的先行者,一直致力于网络安全人才的培养和教育。 看雪课程讲师招募计划启动!诚邀有志之士加入我们~ 成为看雪讲师,你将获得? 1、个人潜能挖掘、
继续阅读雷神众测漏洞周报2025.1.6-2025.1.12
雷神众测漏洞周报2025.1.6-2025.1.12 原创 雷神众测 雷神众测 2025-01-13 09:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读Lua项目下SSRF利用Redis文件覆盖lua回显RCE
Lua项目下SSRF利用Redis文件覆盖lua回显RCE 1315609050541697 神农Sec 2025-01-13 09:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/17034 作者:13156090505416
继续阅读【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信 CERT 2025-01-13 08:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3
继续阅读贡献度排名第一!国舜股份积极支撑工信部车联网产品安全漏洞专业库
贡献度排名第一!国舜股份积极支撑工信部车联网产品安全漏洞专业库 国舜股份 2025-01-13 08:05 近日,工信部网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库(NVDB-CAVD)2024年年终总结会成功召开,会上公布了2024年度技术支撑单位积分排名,国舜股份从一众厂商中脱颖而出,贡献度排名第一。 2024年度技术支撑单位积分排名 此排名是对各单位在 NVDB-CAVD一年支撑工
继续阅读2024年度智能网联汽车重点安全漏洞盘点
2024年度智能网联汽车重点安全漏洞盘点 原创 车联网安全实验室 山石网科安全技术研究院 2025-01-13 07:02 01 Telsa TMPS(胎压监测系统)远程命令执行漏洞 事件概述 在2024年Pwn2Own黑客大赛上,Synacktiv的网络安全研究人员David Berard和Thomas Imbert发现了特斯拉Model 3中的一个关键漏洞。该漏洞位于胎压监测系统(TPMS),
继续阅读DNA 测序仪漏洞标志着医疗器械行业固件存在问题
DNA 测序仪漏洞标志着医疗器械行业固件存在问题 原创 很近也很远 网络研究观 2025-01-13 06:36 Eclypsium 安全研究人员发现了 Illumina iSeq 100 DNA 测序仪中的 UEFI 漏洞,但更广泛的问题涉及整个设备开发过程。 在强调广泛使用的 DNA 基因测序设备中的漏洞时,安全研究人员进一步关注医疗设备行业可能存在的糟糕安全状况,该行业的硬件和固件开发通常根
继续阅读【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! admin 白帽子飙车路 2025-01-13 05:35 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,H
继续阅读图形化漏洞利用Demo-JavaFX版
图形化漏洞利用Demo-JavaFX版 原创 Iuochen 网络安全杂记 2025-01-13 04:46 0x00 引言 这是一个专注于构建图形化漏洞利用工具的项目。项目目前已经搭建好了基本的框架结构,就像一座大厦已经建好了骨架,现在只需要往里面填充漏洞利用代码(exp)就可以了。这个项目的目标是助力安全人员迅速打造一个具备图形化界面并且能在多个平台使用的漏洞利用工具。 在众多的漏洞利用工具里
继续阅读【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞
【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞 原创 奥村燐 弥天安全实验室 2025-01-13 04:25 网安引领时代,弥天点亮未来 **** 0x00前言描述 我过去经常挖掘Dom Xss漏洞,因此写下了以下文章记录了整个过程。接下来,我计划将其改进为自动化挖掘。 0x01整体过程 假如我发现了一个网站,并想要挖掘其中的 Dom Xss 漏洞。 网站加载了一段 JavaScript
继续阅读DH POC撤稿之后还有后续……
DH POC撤稿之后还有后续…… 原创 4° 励行安全 2025-01-13 04:13 测绘平台也搜不到对应的特征了,也许是这个系统刚好用在了某些重要的地方,或者是相关部门想要借此事件对相关的法律法规进行完善补充,对行业的一些灰色地带进行明确要求也未可知。 总之,目前还是要谨言慎行,严格遵守相关法律法规
继续阅读通过高效的侦察发现关键漏洞接管整个IT基础设施
通过高效的侦察发现关键漏洞接管整个IT基础设施 白帽子左一 白帽子左一 2025-01-13 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇文章中, 我将深入探讨我是如何通过详细分析和利用暴露的端点、硬编码的凭据以及配置错误的访问控制,成功获取目标组织关键IT基础设施和云服务访问权限的全过程。 我们先提到
继续阅读章管家前台任意文件上传漏洞(XVE-2024-19042)
章管家前台任意文件上传漏洞(XVE-2024-19042) 原创 Hacker 0xh4ck3r 2025-01-13 04:00 章管家前台任意文件上传漏洞(XVE-2024-19042) 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。 该系统存在前台任意文件上传漏洞,攻击者成功利用该漏洞可以上传任意文件,从而获得服务器权限。 fofa app=&q
继续阅读【漏洞复现】科荣AIO系统存在代码执行漏洞
【漏洞复现】科荣AIO系统存在代码执行漏洞 devildollking 新势界NewFrontier 2025-01-13 03:01 免责声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展
继续阅读【文中抽奖】一杯奶茶钱开挣生活费 SRC漏洞挖掘基础及赏金培训
【文中抽奖】一杯奶茶钱开挣生活费 SRC漏洞挖掘基础及赏金培训 EnhancerSec 2025-01-13 02:00 前言 公众号后台包括身边的朋友有很多私信我的,有很多想入行SRC挖掘挣个生活费或者当个全职赏金猎人。为此,我们决定开展相关培训,便有了这篇文章。零基础的师傅可以选择《 Web安全漏洞基础篇 》,有基础的师傅可以选择《WEB安全&业务漏洞挖掘赏金篇》。 Web安全漏洞基础
继续阅读记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析
记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析 黑白之道 2025-01-13 01:59 原文首发在:先知社区 https://xz.aliyun.com/t/16959 登陆 我这边首先找到的是一个文件上传的登陆框 测试了一下sql注入之类的,发现没有 目录扫描 看到api爆出200 ok的那一刻我的心情是激动的,感觉要有很多接口泄露了 一堆ashx文件加上一个UEditor的组件,
继续阅读泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞
泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞 Superhero nday POC 2025-01-13 01:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读