【实战小技巧系列】前端 JS 解密:一次简单高危漏洞案例
【实战小技巧系列】前端 JS 解密:一次简单高危漏洞案例 flower安全 2025-01-11 18:05 0x01前言 在一次项目中,不出意外的发现一处调用数据的地方,但是请求数据全部加密了,删除cookie后发现可以未授权,但是呢一次性调用也就只有九个,这个和预期的高危相差甚远。直接想办法,看看能不能解密这个请求包。既然前端显示的是明文数据,那么不用说,前端肯定存在解密的函数。或者说加解密都
继续阅读月度归档: 2025 年 1 月
Chrome 扩展程序利用关键字操纵漏洞
Chrome 扩展程序利用关键字操纵漏洞 原创 很近也很远 网络研究观 2025-01-11 15:56 Wladimir Palant 最近的调查显示,许多 Chrome Web Store 扩展程序利用漏洞,通过使用误导性描述和不相关的关键字来操纵搜索排名。 这种策略用不相关或可疑的扩展程序扰乱搜索结果,而合法扩展程序则被埋没在不相关的列表中。 语言漏洞 这种操纵取决于 Chrome Web
继续阅读【安全产品】堡垒机-安全问题分析-漏洞复现
【安全产品】堡垒机-安全问题分析-漏洞复现 原创 仇辉 仇辉攻防 2025-01-11 12:39 前言 安全悖论——“守护者的隐忧” 在网络安全的世界里,安全产品本应是抵御攻击的第一道防线,为企业和用户提供可靠的保护。然而,近年来的诸多安全事件表明,安全产品本身并非天衣无缝,它们可能成为攻击者的突破口。攻击者通过利用安全产品的漏洞、设计缺陷或配置不当,不仅能够绕过防护措施,还可能利用这些产品作为
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby低级模式利用工具
【漏洞工具】某路由器任意文件读取漏洞Goby低级模式利用工具 原创 儒道易行 儒道易行 2025-01-11 12:01 能受天磨真铁汉,不遭人嫉是庸才 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关,公众号儒道易行及作者不为此
继续阅读【安全圈】Ivanti VPN 零日漏洞正在被黑客利用
【安全圈】Ivanti VPN 零日漏洞正在被黑客利用 安全圈 2025-01-11 11:01 关键词 VPN Ivanti 公开披露了影响 Connect Secure (ICS) VPN 设备的两个关键漏洞:CVE-2025-0282 和 CVE-2025-0283。 网络安全公司 Mandiant 的报告称,CVE-2025-0282 零日漏洞利用活动开始于 2024 年 12 月中旬。这
继续阅读疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露
疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露 原创 网空闲话 网空闲话plus 2025-01-11 10:35 据BreachForums网站2025年1月10日消息,威胁行为者Skillz涉嫌向一家年收入达48亿美元的中国IT企业出售服务器访问权限。此次攻击通过利用易受攻击的系统,获取了目标公司的shell访问权限,并暴露了服务器上存储的456GB数据。目标公司业务涵盖网络安全
继续阅读基于大模型(LLM)的黑盒RCE漏洞挖掘
基于大模型(LLM)的黑盒RCE漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2025-01-11 09:00 简介 远程代码执行(Remote Code Execution,RCE)漏洞是最危险的网络安全漏洞之一,攻击者可以通过此类漏洞远程执行任意代码,进而控制目标系统。由于RCE漏洞的危害性极大,因此发现和修复这些漏洞是网络安全领域的重要任务。传统的漏洞挖掘方法依赖于手动渗透测试和静态分析,效率较
继续阅读「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞
「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞 冷漠安全 冷漠安全 2025-01-11 05:05 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282)
【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282) 长亭安全应急响应中心 2025-01-11 04:02 Ivanti Connect Secure(ICS) 是 Ivanti 公司旗下的一款企业级 SSL VPN 解决方案,支持远程安全接入、身份验证和访问控制等关键功能。2025 年 1 月,Ivanti 官方发布安全公告,修复了 I
继续阅读2024年网络空间安全漏洞态势分析研究报告
2024年网络空间安全漏洞态势分析研究报告 计算机与网络安全 2025-01-11 01:57 微信公众号计算机与网络安全 加入知识星球: 网络安全攻防(HVV) 下载文件**** | 来源: 天融信
继续阅读Google Project Zero 研究人员发现针对三星设备的零点击漏洞
Google Project Zero 研究人员发现针对三星设备的零点击漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-11 01:03 导读 网络安全研究人员详细介绍了目前已修补的安全漏洞,该漏洞影响三星智能手机上的Monkey Audio (APE) 解码器,可能导致代码执行。 该漏洞编号为CVE-2024-49415,CVSS 评分:8.1,影响运行 Android 12、13 和
继续阅读常见的网站安全漏洞视频课程
常见的网站安全漏洞视频课程 网络安全者 2025-01-10 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/b15250174e3f 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb5a4
继续阅读【安全圈】联合国航空机构确认招聘数据库存在安全漏洞
【安全圈】联合国航空机构确认招聘数据库存在安全漏洞 安全圈 2025-01-10 11:00 关键词 安全漏洞 联合国国际民用航空组织(ICAO)证实,一名威胁行为者在入侵其招聘数据库后窃取了约 42,000 条记录。 此前,国际民航组织周一宣布正在调查一起 “潜在的信息安全事件”。 虽然该联合国机构没有提供更多细节,但两天前,一个使用 “Natohub ”账号的威胁行为者在BreachForum
继续阅读Palo Alto Networks 修复退市 Migration Tool中的高危漏洞
Palo Alto Networks 修复退市 Migration Tool中的高危漏洞 Ionut Arghire 代码卫士 2025-01-10 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Palo Alto Networks 公司修复了 Expedition 迁移工具中的多个漏洞,其中一个是高危级别,可导致敏感信息遭暴露。 这款免费工具此前被称为 “Migrat
继续阅读【已复现】大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞
【已复现】大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞 原创 应急团队 长亭安全应急响应中心 2025-01-10 06:35 大华智能物联综合管理平台是一款集设备接入管理、数据分析与应用部署为一体的物联网管理解决方案,广泛应用于安防、交通、工业和零售等领域。2025年1月,互联网披露大华智能物联综合管理平台的 GetClassValue 接口中存在远程代码执行漏洞(RC
继续阅读发现Web API漏洞居然能赚到400w刀
发现Web API漏洞居然能赚到400w刀 Z2O安全攻防 2025-01-10 04:09 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励
继续阅读【漏洞预警】Apache OpenMeetings未授权 反序列化漏洞
【漏洞预警】Apache OpenMeetings未授权 反序列化漏洞 cexlife 飓风网络安全 2025-01-10 04:06 漏洞描述: Apache OpenMeetings是一个开源的网络会议软件,由TheApache Software Foundation创建并维护。Apache OpenMeetings发布安全公告,披露了一个未授权反序列化漏洞,该漏洞是由于OpenMeeti
继续阅读漏洞赏金方法 2025 版
漏洞赏金方法 2025 版 hai dragon 安全狗的自我修养 2025-01-10 03:25 图片创建者 大家好,我希望你们都为 2025 年漏洞赏金之旅做得很好,并有良好的动力。首先,我祝大家新年快乐 ,并祝愿大家在 2025 年获得更多的赏金。在这篇博客中,我们将发现 2025 年寻找错误的理想方法。每个人都有自己的方法来猎杀漏洞赏金目标,但我分享了一种方法,您可以按照自己的使用情况进
继续阅读【漏洞通告】SonicOS SSLVPN 认证绕过漏洞安全风险通告
【漏洞通告】SonicOS SSLVPN 认证绕过漏洞安全风险通告 嘉诚安全 2025-01-10 03:18 漏洞背景 近日,嘉诚安全监测到SonicOS SSLVPN中存在一个认证绕过漏洞,漏洞编号为: CVE-2024-53704。 SonicOS SSLVPN是一款为中小企业设计的SSL VPN设备,旨在提供安全的远程访问解决方案,允许用户通过加密的网络连接安全地访问内部网络资源。 鉴于漏
继续阅读【漏洞通告】Ivanti 多款产品缓冲区溢出漏洞安全风险通告
【漏洞通告】Ivanti 多款产品缓冲区溢出漏洞安全风险通告 嘉诚安全 2025-01-10 03:18 漏洞背景 近日,嘉诚安全监测到Ivanti多款产品中存在缓冲区溢出漏洞,漏洞编号为: CVE-2025-0282。 Ivanti Connect Secure,以前称为Pulse Connect Secure,是一款提供SSL VPN解决方案的产品,允许远程用户通过一个安全的通道访问企业资源,
继续阅读实战 | 攻防演练某x医院内网拿下集权
实战 | 攻防演练某x医院内网拿下集权 渗透安全团队 2025-01-10 03:16 前言 医院还是比较好打的 外网打点 通过目标某医院资产发现一个协同办公系统,这样登录界面(厚码保命) 登录没有验证码,admin变种字典爆破启动,经过很快获得正确密码adminxxx 然后找到文件上传设置,增加上传后缀 随便找一个上传点,传上去后访问失败,然后换免杀马,直接报500,随后想到
继续阅读Ignition工控系统反序列化漏洞(CVE-2020-10644)
Ignition工控系统反序列化漏洞(CVE-2020-10644) 原创 Timeless9436 菜鸟学渗透 2025-01-10 03:14 使用说明:本文章仅用于学习技术研究,请勿用于违法用途,造成任何后果自负与本人无关,请自觉遵守国家法律法规。 一、漏洞简介 gnition 是一套全面的工业自动化和数据集成平台,不仅支持跨平台使用,还提供了灵活的模块化设计。它集成了SCADA(监控控制与
继续阅读信息安全漏洞周报(2025年第1期 )
信息安全漏洞周报(2025年第1期 ) 原创 CNNVD CNNVD安全动态 2025-01-10 02:08 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年12月30日至2025年1月5日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞519个。 接报漏洞情况 本周CNNVD接报漏洞40389个,其中信息技术产品漏洞(通用型漏洞)239个,
继续阅读2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了
2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了 白帽黑客k哥 2025-01-10 01:48 一、众测平台(国内) 名称 网址 漏洞盒子 https://www.vulbox.com/ 火线安全平台 https://www.huoxian.cn/ 漏洞银行 https://www.bugbank.cn/ 360漏洞众包响应平台 https://src.360.net/ 补天
继续阅读Ivanti Connect Secure VPN 成为新0day攻击的目标
Ivanti Connect Secure VPN 成为新0day攻击的目标 会杀毒的单反狗 军哥网络安全读报 2025-01-10 01:00 导读 Google 旗下的 Mandiant 将新修补的 Ivanti VPN 0day 漏洞的利用与网络间谍联系起来。 Ivanti 周三向客户发出警报,其 Connect Secure (ICS) VPN 设备中已修复两个漏洞,分别为 CVE-20
继续阅读漏洞预警 | 亿赛通电子文档安全管理系统SQL注入漏洞
漏洞预警 | 亿赛通电子文档安全管理系统SQL注入漏洞 浅安 浅安安全 2025-01-10 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 亿赛通电子文档安全管理系统以数据资产防泄密为核心,涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块,实现对用户电脑终端、移动办公、各类应用系统上的数据从生产、存储、流程、外发到
继续阅读SonicWall 警告存在可利用的 SonicOS 漏洞
SonicWall 警告存在可利用的 SonicOS 漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 SonicWall 敦促客户升级其防火墙的 SonicOS 固件,以修补一个被追踪为 CVE-2024-53704(CVSS 评分为 8.2)的认证绕过漏洞。该漏洞存在于 SSL VPN 和 SSH 管理中,据供应商称,该漏洞“容易被实际利用”。 “我们已经识别出一个高风险(CVE 评
继续阅读Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞
Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 Gayfemboy 僵尸网络最早在2024年2月被发现,它借鉴了基本的Mirai变种代码,并且现在集成了N-day和0-day漏洞利用。到2024年11月,Gayfemboy利用了Four-Faith工业路由器和Neterbit路由器以及Vimar智能家居设备中的0-day漏洞
继续阅读