一次敏感信息泄露引发的逻辑漏洞挖掘
一次敏感信息泄露引发的逻辑漏洞挖掘 菜狗 富贵安全 2025-01-13 01:18 根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。
继续阅读月度归档: 2025 年 1 月
GitHub 上的虚假 LDAPNightmware 漏洞投放信息窃取恶意软件
GitHub 上的虚假 LDAPNightmware 漏洞投放信息窃取恶意软件 会杀毒的单反狗 军哥网络安全读报 2025-01-13 01:01 导读 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用通过信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub
继续阅读漏洞预警 | 朗速ERP SSRF漏洞
漏洞预警 | 朗速ERP SSRF漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 朗速ERP是一款由朗速科技推出的企业资源计划软件,旨在帮助企业实现资源的高效管理和全面优化。 0x03 漏洞详情 漏洞类型: SSRF 影响: 上传恶意文件**** 简述: 朗速ERP的/Api/UEd
继续阅读漏洞预警 | 快云服务器助手任意文件读取漏洞
漏洞预警 | 快云服务器助手任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 快云服务器助手是一款针对云计算环境下的服务器管理与监控工具,旨在帮助企业用户更加便捷、高效地管理其云服务器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 快云服务器
继续阅读漏洞预警 | 圣乔ERP系统任意文件读取漏洞
漏洞预警 | 圣乔ERP系统任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 互慧急诊综合管理平台是用于管理门诊急诊病人的系统,主要包括门诊急诊业务和急诊物资管理两部分。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 窃取敏感信息 简述: 互慧急诊综合管理平台的/d
继续阅读工具 | WExploit
工具 | WExploit 浅安 浅安安全 2025-01-13 00:01 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 WExploit是一款基于java开发的漏洞检测工具。 0x01 功能说明 – Struts2 ThinkPHP 海康威视 泛微OA 用友OA 致远OA 红帆OA 万户OA
继续阅读Java漏洞集合工具更新2.0
Java漏洞集合工具更新2.0 pureqh 夜组安全 2025-01-13 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在只对常读和星标的公
继续阅读CVE-2025-22777 (CVSS 9.8):WordPress | GiveWP 插件的严重漏洞
CVE-2025-22777 (CVSS 9.8):WordPress | GiveWP 插件的严重漏洞 夜组科技圈 2025-01-13 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 最广泛使用的在线捐赠和筹款工具之一。该漏洞的编号为 CVE-2025-
继续阅读Bp神级插件:二次开发,让API漏洞挖掘,效率倍增!
Bp神级插件:二次开发,让API漏洞挖掘,效率倍增! 原创 ZYC 无尽藏攻防实验室 2025-01-13 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 工具介绍 APIKit 是 APISecurity社区 发布的第一个开源项目。
继续阅读5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道
5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道 原创 产品与解决方案部 威努特安全网络 2025-01-13 00:00 01 前 言 依据《关于加快煤矿智能化发展的指导意见》,按照 “智能化煤矿应建设高速高可靠的通信网络”的建设目标,实现终端机械化、系统自动化、综合智能化、管理信息化的建设方向,明确了矿井信息化建设的总体思路是,实现定位前瞻、高效实用,深度融合、标准统一,分区建设、集中
继续阅读研究人员披露了三星一个现已修复的零点击漏洞的细节
研究人员披露了三星一个现已修复的零点击漏洞的细节 鹏鹏同学 黑猫安全 2025-01-12 23:05 Google Project Zero研究人员披露了三星一个现已修复的零点击漏洞的细节,这个漏洞被追踪为CVE-2024-49415(CVSS分数:8.1),影响三星设备。这是一个libsaped.so prior to SMR Dec-2024 Release 1中的出界写入问题,它允许远程攻
继续阅读什么是重保?期间都做些什么?有哪些重要影响?
什么是重保?期间都做些什么?有哪些重要影响? 原创 洁说安全 网络安全和等保测评 2025-01-12 23:00 重保即重点保障时期,通常是指在一些重大活动、关键敏感时期,为了确保特定范围内的网络安全、信息系统稳定运行、关键基础设施安全等所采取的一系列强化保障措施的阶段。 重保期间所做的主要工作如下: 安全监测方面 1.网络流量监测 利用专业的网络流量分析工具,7×24 小时不间断地对进出网络的
继续阅读记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧
记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2025-01-12 16:00 0x01 前言 记一次某SRC信息管理系统多个漏洞组合Getshell,并已提交至 SRC 平台修复。过程包括发现未授权访问漏洞、利用 SQL 注入获取邮箱账号、爆破弱口令登录后台、利用目录遍历漏洞找到上传路径,并通过条件竞争成功绕过黑名单上传 we
继续阅读网络安全领域研究人员遭遇假PoC专项攻击
网络安全领域研究人员遭遇假PoC专项攻击 BaizeSec 白泽安全实验室 2025-01-12 15:36 一、事件概述 近期,网络安全领域接连曝出针对研究人员的假PoC(概念验证)攻击事件,引发业界高度关注。2024年12月,微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞,分别是CVE-2024-49112和CVE-2024-49113。其中,CVE-2024-49113是一个拒绝服
继续阅读SSRF 漏洞自动化 寻找
SSRF 漏洞自动化 寻找 真爱和自由 迪哥讲事 2025-01-12 13:40 环境搭建 下载项目https://github.com/l4yn3/micro_service_seclab 然后放入 IDEA 即可,之后运行 这里主要研究 SSRFSSRF 的漏洞代码 但是这个不太明显我修改了一下这样更好观察 成功 漏洞分析 我们首先需要看明白造成 SSRF 漏洞的类型 HttpURLConn
继续阅读JeecgBoot passwordChange 任意用户密码重置漏洞
JeecgBoot passwordChange 任意用户密码重置漏洞 Superhero nday POC 2025-01-12 13:39 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读【安全工具】一款免费的APP IOS抓包工具 支持Flutter应用抓包|漏洞探测
【安全工具】一款免费的APP IOS抓包工具 支持Flutter应用抓包|漏洞探测 wanghongenpin 黑客白帽子 2025-01-12 13:01 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 0x01 工具介绍 ProxyPin 是一
继续阅读【漏洞复现】CVE-2024-50603
【漏洞复现】CVE-2024-50603 混子Hacker 混子Hacker 2025-01-12 12:54 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 越努力越幸运 —— CVE-2024-50603 Aviatrix Cont
继续阅读蓝凌OA WebService sysFormMainDataInsystemWebservice 任意文件读取漏洞
蓝凌OA WebService sysFormMainDataInsystemWebservice 任意文件读取漏洞 Superhero nday POC 2025-01-12 11:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果
继续阅读我只想要一个 CVE-2024-30085 Exploit 作为圣诞礼物
我只想要一个 CVE-2024-30085 Exploit 作为圣诞礼物 Cherie securitainment 2025-01-12 09:32 【翻译】All I Want for Christmas is a CVE-2024-30085 Exploit 概述 CVE-2024-30085 是一个影响 Windows 云文件迷你过滤驱动程序cldflt.sys 的基于堆的缓冲区溢出漏洞。
继续阅读【相关分享】记一次小程序逻辑漏洞
【相关分享】记一次小程序逻辑漏洞 原创 隼目安全 隼目安全 2025-01-12 08:49 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 该漏洞已经向相关单位与平台
继续阅读「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞
「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞 冷漠安全 冷漠安全 2025-01-12 04:51 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)
古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊) 独眼情报 2025-01-12 04:24 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub 上已经有多
继续阅读区块链 智能合约安全 重入漏洞
区块链 智能合约安全 重入漏洞 原创 zkaq – 君叹 掌控安全EDU 2025-01-12 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 君叹 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 智能合约安全 在当今数字化浪潮汹涌澎湃的时代,区块链技术无疑是一颗耀眼的明星,正深刻地重塑着众多领域的运作模式。
继续阅读文件包含漏洞等你来看
文件包含漏洞等你来看 原创 Caigensec 菜根网络安全杂谈 2025-01-12 02:16 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 文件包含漏洞介绍 1、漏洞简介 文件包含漏洞是指由于应用程
继续阅读2025年需要防范的五大恶意软件
2025年需要防范的五大恶意软件 跳舞的花栗鼠 FreeBuf 2025-01-12 02:01 2024年发生了多起引人注目的网络攻击,像戴尔和TicketMaster这样的大公司也都成为了数据泄露和其他基础设施攻击的受害者。到2025年,这样的趋势还将持续下去。 正所谓知己知彼百战百胜,为了能应对任何类型的恶意软件攻击,每个组织都需要提前做好功课,了解可能遇见的网络敌人。本文整理了5种常见的恶
继续阅读禅道CMS开源版SQL注入漏洞分析
禅道CMS开源版SQL注入漏洞分析 1629192581190874 神农Sec 2025-01-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/16976 作者:1629192581190874 0x1 前言介绍
继续阅读CISA紧急警告:Oracle与Mitel高危漏洞正被攻击者利用,企业需立即修复!
CISA紧急警告:Oracle与Mitel高危漏洞正被攻击者利用,企业需立即修复! Hankzheng 技术修道场 2025-01-12 00:51 近日,美国网络安全和基础设施安全局(CISA)发布紧急警告,提醒美国联邦机构注意Oracle WebLogic Server和Mitel MiCollab系统中的高危漏洞 ,这些漏洞已被攻击者积极利用 ,可能对系统安全造成严重威胁。 CISA已将Mi
继续阅读2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南
2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南 小编 安全学术圈 2025-01-12 00:42 上海网络与信息安全测评工程技术研究中心(以下简称“工程中心”)于2015年依托公安部第三研究所筹建,并于2017年底顺利通过筹建期的项目验收,是依托单位内部的二级机构。本工程中心组建目标是立足上海、辐射全国,围绕安全测评技术研发和验证,基于已有的传统网络信息安全测评基础和测评体系
继续阅读中信银行日照分行因“未及时处置数据安全漏洞风险”等被罚54万元
中信银行日照分行因“未及时处置数据安全漏洞风险”等被罚54万元 安全学习那些事儿 2025-01-11 23:03 2025年1月10日,中国人民银行日照市分行行政处罚决定信息公示表显示, 中信银行股份有限公司日照分行因四项违法行为类型,被警告,并罚款540000元。 违法行为类型如下: 1. 违反金融统计相关规定; 未按规定履行客户身份识别义务; 未及时处置数据安全漏洞风险; 未制定网络安全事件
继续阅读