更新:第3章-AFL原理!系统0day安全-二进制漏洞攻防(第4期)
更新:第3章-AFL原理!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-01-07 09:59 本周更新:第三章 AFL原理 3.1 路径信息反馈 3.2 forkserver 3.3 样本变异 3.4 一些思考 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战,我
继续阅读月度归档: 2025 年 1 月
【漏洞通告】Redis代码执行漏洞(CVE-2024-46981)
【漏洞通告】Redis代码执行漏洞(CVE-2024-46981) 启明星辰安全简讯 2025-01-07 09:17 一、漏洞概述 漏洞名称 Redis代码执行漏洞 CVE ID CVE-2024-46981 漏洞类型 Use-After-Free 发现时间 2025-01-07 漏洞评分 7.0 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公
继续阅读Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络
Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络 原创 奇安信X实验室 奇安信XLab 2025-01-07 08:48 概述 无数脚本小子怀揣着发财梦,拿着 Mirai 的源码兴高采烈地杀入 DDoS 黑产行业,幻想着靠僵尸网络大赚一笔。现实是残酷的,这些人来时满怀雄心,去时却灰头土脸,只给安全社区留下一个又一个只能活跃 3–4 天的 Mirai 变种。然而,今天的主角Gayfem
继续阅读帆软Finebi_V5.1.10_channel反序列化漏洞复现
帆软Finebi_V5.1.10_channel反序列化漏洞复现 原创 kkk 漏洞推送 2025-01-07 08:22 1.安装 复现版本:FineBI V5.1.10 安装后,后台地址 webroot/decision/login 2.反编译 找到所有以fine开头的包,复制到单独文件夹进行反编译 3.漏洞复现 在fine-decision-report-11.0/com/fr/decisi
继续阅读注意!安全漏洞不能随意发布!
注意!安全漏洞不能随意发布! 原创 JUN哥 君说安全 2025-01-07 07:24 ❤* 请点击上方 ⬆ ⬆ ⬆ 关注*君说安全!❤ “ 从事漏洞研究或渗透测试是技术能力的体现没错,但是也要注意合法和合规。” 今天,网络安全圈炸了,爆出了一个大瓜!这个瓜,涉及广大安全技术研究人员。 技术分享是人的正常心理,笔者认为是好事情。但是技术分享的前提是合法合规,而不是违规公布相关漏洞。 这不,圈
继续阅读【突发】某博主因分享漏洞POC被抓
【突发】某博主因分享漏洞POC被抓 安全透视镜 网络安全透视镜 2025-01-07 07:06
继续阅读华天动力OA Service漏洞分析两则
华天动力OA Service漏洞分析两则 原创 chobits02 Code4th安全团队 2025-01-07 06:57 偶然 获得了华天OA的一部分源码,查看对应的版本为华天动力OA 8000,这里结合漏洞来分析下如何根据茫茫大海般的源码,来分析漏洞产生点。 华天动力是我国首批OA企业,是双软认证的高新技术企业,专注OA办公系统20余年,开放免费OA系统下载试用,旗下OA产品累计为37500
继续阅读【吃瓜】震惊,某漏洞文库公众号作者被请喝茶
【吃瓜】震惊,某漏洞文库公众号作者被请喝茶 Mstir 星悦安全 2025-01-07 05:43 点击上方 蓝字 关注我们 并设为 星标 0x01 注销事件 就在今天早上, 漏洞文库 公众号被 “自主注销,已停止使用” 据传闻说是因为发了 某华的系统的RCE漏洞,别人被打爆了,导致被抓包 号主的朋友圈发布了以下内容 0x02 关注公众号 标签:代码审计,0day,渗透测试,系统,通用,0day,
继续阅读某漏洞文库公众号作者去喝茶了
某漏洞文库公众号作者去喝茶了 原创 吃瓜人员 MiSecurity 2025-01-07 05:21 网上 时间线: 1.3日 转发某华RCE漏洞poc 1.3日 该漏洞poc被删除 1.7日 号主被请喝茶 1.7日 号主注销账号 大家以后发POC需要警惕了!不要随意发布POC及安全工具!
继续阅读突发!更新漏洞poc的公众号主被抓!
突发!更新漏洞poc的公众号主被抓! 棉花糖fans 2025-01-07 05:02 就在今天上午,”漏洞文库“公众号启动注销。 据了解,是因为前段时间发布了xx系统相关的RCE漏洞,导致某企业被打穿,造成了一定后果,图为群友聊天截图。 该号主的朋友圈: 往期文章 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动2024-12-27 交流群新增github po
继续阅读【成功复现】Cleo产品远程命令执行漏洞(CVE-2024-50623)
【成功复现】Cleo产品远程命令执行漏洞(CVE-2024-50623) 弥天安全实验室 弥天安全实验室 2025-01-07 04:27 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Cleo LexiCom等都是Cleo公司的产品。Cleo LexiCom是一个集成平台。Cleo Harmony是一个
继续阅读吃瓜-国内最快漏洞文库已注销
吃瓜-国内最快漏洞文库已注销 吃瓜 山海之关 2025-01-07 04:24 利益相关: 该号主在HW期间,星球发什么内容他就搬运什么内容,经过友好交谈后我们成为了朋友。 时间线: 1.3日转发某华RCE漏洞poc 1.3日该漏洞poc被删除 1.7日号主被请喝茶 1.7日号主注销账号 原因: 该漏洞poc在短时间内被大量转载,据说是有私企被该漏洞打穿了 警醒: 虽然poc一般不会产生破坏性,但
继续阅读漏洞文库强行退出安全圈,并上所
漏洞文库强行退出安全圈,并上所 漏洞文库 杰哥就是逊 2025-01-07 04:18
继续阅读ICLR 2025 Workshop 征稿:推动基础模型的开源、开放、可复现
ICLR 2025 Workshop 征稿:推动基础模型的开源、开放、可复现 字节跳动技术团队 2025-01-07 04:02 国际学习表征会议 ICLR 作为深度学习领域的顶级学术活动,将于 2025 年 4 月 24-28 日在新加坡举办。 期间,首届 Open Science for Foundation Models (SCI-FM) Workshop 将在会场同步开启,现面向业界进行
继续阅读Moxa 设备严重漏洞将工业网络暴露在攻击中
Moxa 设备严重漏洞将工业网络暴露在攻击中 Bill Toulas 代码卫士 2025-01-07 04:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 工业网络和通信提供商 Moxa 提醒称,多个蜂窝路由器、安全路由器和网络安全设备的多个机型受一个高危漏洞和一个严重漏洞影响。这两个漏洞可导致远程攻击者在易受攻击设备上获得根权限并执行任意命令,从而导致任意代码执行后果。 Moxa 路
继续阅读Nuclei 被曝高危漏洞!允许攻击者进行签名绕过和代码执行,谨慎使用陌生的YAML模板
Nuclei 被曝高危漏洞!允许攻击者进行签名绕过和代码执行,谨慎使用陌生的YAML模板 WH0sec 2025-01-07 03:30 “ Nuclei 被披露了一个高度严重的安全漏洞, CVE-2024-43405,CVSS 评分为 7.4 分。它会影响 3.0.0 之后的所有 Nuclei 版本。” Nuclei Nuclei是一种用于自动化漏洞扫描和发现的工具,它可以帮助安全研究人员和渗透
继续阅读【漏洞预警】用友 U8cloud CTExecDraftAction SQL注入漏洞
【漏洞预警】用友 U8cloud CTExecDraftAction SQL注入漏洞 原创 MasterC 企业安全实践 2025-01-07 03:11 一、漏洞描述 用友U8cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案,支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造。用友U8cloud CTExecDraftAction 存
继续阅读Windows 曝9.8分漏洞,已有PoC及利用情况
Windows 曝9.8分漏洞,已有PoC及利用情况 老布-Freebuf 乌雲安全 2025-01-07 03:00 SafeBreach Labs的研究人员发布了关于Windows轻量级目录访问协议(LDAP)的一个关键漏洞的概念验证(PoC)和漏洞利用方法,该漏洞编号为CVE – 2024 – 49112。微软在2024年12月10日的补丁星期二更新中披露了此漏洞,其
继续阅读2025 OWASP 大语言模型应用程序10大风险
2025 OWASP 大语言模型应用程序10大风险 聊安全 一起聊安全 2025-01-07 02:18 网安人必收!2024年度报告&白皮书、安全标准与技术方案全汇总 2024年度大盘点:网络安全必读资料大集合 在这个AI技术日新月异的时代,大规模语言模型(LLM)正以前所未有的速度重塑各行各业。从客户互动到内部运营,LLM技术的广泛应用为我们的工作和生活带来了前所未有的便捷与效率。然而
继续阅读【漏洞复现】EasyCVR视频管理平台存在任意文件读取漏洞
【漏洞复现】EasyCVR视频管理平台存在任意文件读取漏洞 新势界NewFrontier 2025-01-07 02:03 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展示大图推送,建议
继续阅读【漏洞复现】急诊急救快速联动平台ServicePage.aspx任意文件读取漏洞
【漏洞复现】急诊急救快速联动平台ServicePage.aspx任意文件读取漏洞 原创 清风 白帽攻防 2025-01-07 01:05 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 互慧急诊急救快速联动平台是一个专门用于管理门诊急诊病人的系统,分为两大主要
继续阅读【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响)
【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响) 实战安全研究 2025-01-07 01:00 11.6 – birthday gift for me 商务合作、转载本文,请后台私聊本公众号 吃瓜请看至文末 致谢 我是Feng Jiaming,公开别名 Sugobet/M1n9K1n9,来自中国广东工贸职业技术学院的在校学生 I
继续阅读漏洞的尽头竟然是玄学,随机触发学会了!
漏洞的尽头竟然是玄学,随机触发学会了! 小嘟 dotNet安全矩阵 2025-01-07 00:20 某技术交流群里,最近的热门话题是某漏洞的“玄学触发”。据说这个漏洞的表现堪比薛定谔的猫,触发与否完全看缘分。 漏洞的尽头竟然是玄学,有位群友总结得精辟:这漏洞就是黑客界的买彩票,一键下去,全靠手气!
继续阅读AWS在4年内出现3次重复同一个严重RCE漏洞
AWS在4年内出现3次重复同一个严重RCE漏洞 原创 何威风 祺印说信安 2025-01-07 00:10 过去四年中,亚马逊网络服务 (AWS) 通过其 Neuron SDK 三次引入相同的远程代码执行 (RCE) 漏洞,凸显其 Python 包安装过程的安全保护存在严重失误。 尽管之前已经发出警告并进行了修复,但同样的依赖混淆漏洞在其软件生态系统中随着新软件包的发布再次出现。 该问题最早是在
继续阅读漏洞预警 | 科汛网校KesionEDU SQL注入漏洞
漏洞预警 | 科汛网校KesionEDU SQL注入漏洞 浅安 浅安安全 2025-01-07 00:01 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等
暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等 原创 网空闲话 网空闲话plus 2025-01-06 23:16 1月7日监测暗网发现,威胁行为者活动持续猖獗,发现多起风险较高的情报信息。首先,菲律宾博彩公司Betrnk Inc的完整源代码和游戏基础设施被窃取并在暗网出售,可能导致重大财务损失和运营中断。其次,哥伦比亚金融服务公司AXA COLPATRIA的数据库泄露,约1万
继续阅读【神兵利器】内网全方位漏洞扫描工具
【神兵利器】内网全方位漏洞扫描工具 P001water 七芒星实验室 2025-01-06 23:01 项目介绍 P1soda是一款 常规内网渗透场景下的全方位漏洞扫描工具 功能特色 – 主机存活探测:充分适应内网场景,ip输入,支持ICMP echo发包探测、ping命令探测 端口指纹识别:基于nmap-service-probes指纹实现的Mini nmap端口指纹识别引擎,出于工
继续阅读Nuclei 漏洞允许绕过签名并执行代码
Nuclei 漏洞允许绕过签名并执行代码 鹏鹏同学 黑猫安全 2025-01-06 23:00 一个高危安全漏洞,追踪为 CVE-2024-43405(CVSS 评分为 7.4),存在于开源漏洞扫描器 ProjectDiscovery 的 Nuclei 中,可能允许攻击者绕过签名检查并执行恶意代码。这个漏洞是由 Wiz 的工程团队发现的。 该漏洞源于换行符处理的差异和多签名处理,使攻击者能够向模板
继续阅读360漏洞云&360SRC丨洞力拉满,泰国出发!
360漏洞云&360SRC丨洞力拉满,泰国出发! 360漏洞云 2025-01-06 15:36 HAPPY→→360 泰国出发»»»» Hackers’ Day 白帽盛典 2024 年度 »360洞力补给计划« HAPPY HOLIDAY 2024.1.7-1.11 HOLIDAY EP2025.泰国行 游玩tips Hackrs’ Day 各位白帽师傅们 36
继续阅读如何将低危的 SSRF 盲注升级为严重漏洞
如何将低危的 SSRF 盲注升级为严重漏洞 Z2O安全攻防 2025-01-06 14:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 简介 今天分享国外白帽Amr Mustafa如何利用 SSRF 盲注发现和利用关键漏洞的经验。 什么是SSRF? 服务器端请求伪造(SSRF)是一
继续阅读