超300万台未加密邮件服务器暴露,用户数据面临严重威胁!
超300万台未加密邮件服务器暴露,用户数据面临严重威胁! 原创 网空闲话 网空闲话plus 2025-01-02 23:09 据BleepingComputer网站2025年1月2日引述网络安全监控平台ShadowServer报告的数据,称报告揭示了一个令人震惊的事实:全球超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上,用户数据正面临严重的嗅探攻击风险。这些服务器在传输
继续阅读月度归档: 2025 年 1 月
【1day edu 大量存在】大华智能物联综合管理平台(ICC) 存在远程命令执行漏洞
【1day edu 大量存在】大华智能物联综合管理平台(ICC) 存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2025-01-02 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。
继续阅读代码审计 – MCMS v5.4.1 0day挖掘
代码审计 – MCMS v5.4.1 0day挖掘 船山信安 2025-01-02 18:00 一、前言 MingSoft MCMS 是中国铭飞 (MingSoft) 公司的一个完整开源的 J2ee 系统,可以到 Github 下载到源码,官网 铭软・铭飞官网・低代码开发平台・免费开源Java Cms 笔者针对 MCMS v5.4.1 进行代码审计,发现存在一个后台 uploa
继续阅读赏金$3133的漏洞
赏金$3133的漏洞 迪哥讲事 2025-01-02 15:41 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任 背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。 幻灯片准备好后,开始点击演示者视图来预览它们,由于白
继续阅读【活动】你没看错,通用漏洞全年3倍奖励!
【活动】你没看错,通用漏洞全年3倍奖励! 原创 邀您全年专测的 京东安全应急响应中心 2025-01-02 12:00 2025 JSRC白帽成长体系 奖励已上线! 快去JSRC官网看看,你是什么等级守卫? 🐍 蛇年新气象,开工大吉!🐍 🚀 活动风暴,即刻来袭!🚀 🌟 三倍惊喜,全年狂欢! 🌟 2025JSRC下血本啦! 活动时间 2025年1月2日 20:00 – 12月31日 24
继续阅读新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 老布 FreeBuf 2025-01-02 11:54 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一点击,而是利用
继续阅读防范XXE漏洞:XXE攻击详解与应对策略
防范XXE漏洞:XXE攻击详解与应对策略 原创 todobest SDL安全 2025-01-02 11:48 一、XXE 漏洞概述 XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。 1.1 XML 文档结构 XML文档的基本结构包括以下几个部分: 1. XML 声明 :指定 XML 的
继续阅读【安全圈】新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
【安全圈】新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 安全圈 2025-01-02 11:00 关键词 安全漏洞 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一
继续阅读【漏洞预警】Apache Arrow代码执行漏洞(CVE-2024-52338)
【漏洞预警】Apache Arrow代码执行漏洞(CVE-2024-52338) cexlife 飓风网络安全 2025-01-02 10:19 漏洞描述: Aрасhе Arrоԝ R软件包版本 4.0.0 至16.1.0中的IPC和Pаrԛuеt读取器中不受信任的数据的反序列化允许任意代码执行。 影响产品:4.0.0 <= Apache Arrow R软件包 <= 16.1.0 修
继续阅读Hyper-V拒绝服务漏洞CVE-2024-43633分析
Hyper-V拒绝服务漏洞CVE-2024-43633分析 王cb 看雪学苑 2025-01-02 10:02 这篇文章的目的是介绍今年11月发布的的Hyper-V拒绝服务漏洞CVE-2024-43633分析。文章结合了逆向代码和调试结果分析了CVE-2024-43633漏洞利用过程和漏洞成因。 复现环境 Win11 23h2 Win11 22h2 CVE-2024-43633漏洞分析 CVE-2
继续阅读创宇安全智脑 | 灵当 CRM getMyAmbassador SQL注入等72个漏洞可检测
创宇安全智脑 | 灵当 CRM getMyAmbassador SQL注入等72个漏洞可检测 创宇安全智脑 创宇安全智脑 2025-01-02 09:56 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁
继续阅读黑客泄露更多数据,思科证实属实
黑客泄露更多数据,思科证实属实 Eduard Kovacs 代码卫士 2025-01-02 09:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 黑客IntelBroker泄露了盗自思科DevHub一个实例中的更多数据,思科已证实数据的真实性,称该数据源自最近披露的一起安全事件。 IntelBroker 在10月14日宣称自己和其他人已攻陷思科系统并获得源代码、证书、凭据、机密文档、密
继续阅读【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞
【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞 原创 漏洞文库 漏洞文库 2025-01-02 09:09 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-02 08:43 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份
【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份 原创 零时科技 零时科技 2025-01-02 08:35 零时科技每月安全事件看点开始了!据一些区块链安全风险监 测平台统计显示,2024年12月,各类安全事件损失金额较11月大幅下降。12月发生较典型安全事件超 23 起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达 2860万 美元,较11月下
继续阅读新书推荐《Web漏洞分析与防范实战》
新书推荐《Web漏洞分析与防范实战》 Web安全工具库 2025-01-02 08:32 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,网络安
继续阅读研究漏洞方法指南 | Web漏洞分析与防范实战
研究漏洞方法指南 | Web漏洞分析与防范实战 新书速递→ 湘安无事 2025-01-02 08:28 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的
继续阅读SSTI模板注入漏洞详解(附一键getshell工具)
SSTI模板注入漏洞详解(附一键getshell工具) 原创 Z0安全 Z0安全 2025-01-02 08:23 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请遵守网络安全法律。本次仅用于测试,请完成测试后24小时删除,请勿用于商业用途。 01.简介 什么是SSTI: SSTI漏洞
继续阅读记一次JS中的漏洞挖掘
记一次JS中的漏洞挖掘 bcloud 亿人安全 2025-01-02 08:17 声明 本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!!! 前言 当我们拿到网站,但是又不知道密码,目录扫描也扫不出有效的信息时,我们可以从前端JS源码入手,找找是否有可以利用的点,或
继续阅读你手上的漏洞poc,真能帮你解决问题吗?
你手上的漏洞poc,真能帮你解决问题吗? 万能漏洞库 FreeBuf知识大陆APP 2025-01-02 08:01 刚开始做网安时,我有次提交SRC漏洞,因为提供的poc不给力,错过了一笔大奖励。其实那只是个简单的逻辑漏洞,但当时我缺了关键的绕过细节,所以验证没通过。后来我在网安领域经验多了,才慢慢明白:poc不光是代码,更是效率和价值的体现。在这行里,时间和质量常常决定收益。 能不能先一步搞定
继续阅读你乘上的是列车还是彗星?
你乘上的是列车还是彗星? 原创 QAX病毒响应中心 奇安信病毒响应中心 2025-01-02 07:11 一、背景 暗黑彗星(DarkComet)是一款自2012年起被广泛用于网络攻击的远程访问木马(RAT),由Jean-Pierre Lesueur(DarkCoderSc)开发,尽管其最初开发意图是为合法的远程控制提供便利,但因其功能全面、隐蔽性强,迅速被恶意攻击者用于非法目的,包括窃取敏感信息
继续阅读[武器库]-WExploit漏洞综合利用工具
[武器库]-WExploit漏洞综合利用工具 qianbenhyu 小肥羊安全 2025-01-02 07:02 0x00 免责说明 免责声明:由于传播、利用本公众号所提供的信息而造成的直接或者间接损失,均由使用者本人负责。请遵守法律法规和行业道德。 0x01 about 一款基于java开发的漏洞检测工具,集合了S2,ThinkPHP,红帆,万户,蓝凌,帆软,泛微,用友,大华漏洞等,框架使用:
继续阅读上周关注度较高的产品安全漏洞(20241216-20241222)
上周关注度较高的产品安全漏洞(20241216-20241222) 金瀚信安 2025-01-02 06:57 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2024-48384) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全绕过漏洞,攻击者可利用该漏洞绕过安全限制。 参考链接: https://www
继续阅读漏洞预警 unibox checkxxxx.php 命令执行漏洞
漏洞预警 unibox checkxxxx.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2025-01-02 06:52 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使
继续阅读LdapNightmare 一个 PoC 工具,用于针对 CVE-2024-49112 易受攻击 Windows Server
LdapNightmare 一个 PoC 工具,用于针对 CVE-2024-49112 易受攻击 Windows Server Ots安全 2025-01-02 06:46 LDAP 噩梦 Yuki Chen (@guhe120) 报告的 CVE-2024-49112 漏洞。Windows 轻量级目录访问协议 (LDAP) 中的漏洞。 由 SafeBreach Labs 创建(发布于 2025 年
继续阅读【漏洞通告】华为产品 不充分的完整性漏洞
【漏洞通告】华为产品 不充分的完整性漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 华为产品存在不充分的完整性漏洞。模块在特定场景下没有执行足够的完整性检查。攻击者可以通过物理安装恶意软件来利用该漏洞。这可能会危及受影响设备的正常服务。(漏洞ID:HWPSRT-2020-00145)此漏洞已被指定为常见漏洞和暴露(UTE)ID:UTE-2020-9210。0
继续阅读【漏洞通告】Perl 安全漏洞
【漏洞通告】Perl 安全漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 Perl是PERL社区的一款通用、解释型、动态的跨平台编程语言。Perl 0.13之前版本存在安全漏洞,该漏洞源于Crypt::Random::Source 包会回退到内置的 rand 函数,该函数并不是一个安全的随机位源。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Perl 安全
继续阅读【漏洞通告】Oracle iStore 未授权访问
【漏洞通告】Oracle iStore 未授权访问 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 Oracle电子商务套件的Oracle iStore产品中存在漏洞(组件:购物车)。 受影响的支持版本包括12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7和12.2.8。易于利用的漏洞允许未经身份验证的攻
继续阅读【漏洞通告】Apache Hive & Spark 信息泄露漏洞
【漏洞通告】Apache Hive & Spark 信息泄露漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 在 Apache Hive 和 Apache Spark 这两个广泛用于大规模数据处理和分析的系统中发现了一个新披露漏洞CVE-2024-23945,该漏洞影响 CookieSigner 机制,在消息验证失败时会暴露有效的 cookie 签名,
继续阅读【工具分享】开源,图形化Jeecg框架漏洞利用工具
【工具分享】开源,图形化Jeecg框架漏洞利用工具 Mstir 星悦安全 2025-01-02 06:29 点击上方 蓝字 关注我们 并设为 星标 0x01 Jeecg_Tools工具介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc: – JEECG 登录绕过检测 JEECG jeecgFormDemo文件上传 JEECG common文件上传 JEECG
继续阅读