月度归档: 2025 年 1 月

ViewState反序列化漏洞详解

发布于 作者:

ViewState反序列化漏洞详解 原创 信安路漫漫 信安路漫漫 2025-01-21 23:00 前言 在一次测试过程中遇到了这个ViewState的反序列化漏洞,当时对于利用方式以及原理都不太清楚,因此有了这边文章,学习一下viewstate的漏洞原理以及利用方式。 ViewState基础介绍 ViewState机制 ViewState 是 ASP.NET(Active Server Page

继续阅读

【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞

发布于 作者:

【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞 安全圈 2025-01-21 19:01 关键词 安全漏洞 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键漏洞的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安

继续阅读

1Scan一键渗透扫描器|漏洞探测

发布于 作者:

1Scan一键渗透扫描器|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-21 16:00 0x01 工具介绍  1Scan 全平台一键渗透扫描器,只需输入目标(IP、URL、CIDR、ip.txt、ipc.txt、ipb.txt、url.txt),即可一键使用多种协议收集信息、网络密码爆破、高危1Day、Nday漏洞探测、一键GetShell等。 下载地址在末尾**** 0x02 功

继续阅读

OWASP 2025 年 10 大漏洞

发布于 作者:

OWASP 2025 年 10 大漏洞 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ OWASP于 2025 年 1 月 21 日发布了《2025 年十大安全漏洞》报告。随着去中心化金融(DeFi)和区块链技术的持续发展,确保智能合约安全的重要性愈发凸显。最新的列表反映了不断演变的攻击向量,突出了近年来被广泛利用或新发现的漏洞。 2025 年 OWASP 十大漏洞: 1

继续阅读

7-Zip 漏洞允许通过绕过网络标记执行任意代码

发布于 作者:

7-Zip 漏洞允许通过绕过网络标记执行任意代码 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ 近期,安全研究人员发现了一个编号为 CVE-2025-0411 的高危漏洞,CVSS 评分为 7.0。该漏洞允许远程攻击者绕过 Windows 的“网络标记”(Mark-of-the-Web,MOTW)保护机制,从而在受影响的系统上执行任意代码。 该漏洞源于 7-Zip 在处

继续阅读

【安全圈】梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露

发布于 作者:

【安全圈】梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 安全圈 2025-01-21 11:01 关键词 安全漏洞 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要

继续阅读

关于防范开源文件同步工具rsync多个安全漏洞的风险提示

发布于 作者:

关于防范开源文件同步工具rsync多个安全漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-01-21 10:48 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源文件同步工具 rsync 存在堆缓冲区溢出等多个漏洞,危害严重。 Rsync 是一款开源文件同步与数据传输工具,被广泛用于备份、镜像、数据迁移等场景。由于程序缺陷,存在堆缓冲区溢出、信息

继续阅读

持续领先!奇安信斩获5个CNNVD漏洞贡献奖

发布于 作者:

持续领先!奇安信斩获5个CNNVD漏洞贡献奖 奇安信集团 2025-01-21 10:24 近日,中国国家信息安全漏洞库(CNNVD)完成了2024年度第二期接报漏洞奖励评选工作,表彰了26个在我国网络安全漏洞预警及风险消控工作中发挥积极作用的漏洞。本次漏洞奖励评选共评出8个一级贡献奖,18个二级贡献奖,其中,奇安信斩获3个一级贡献奖 ,2个二级贡献奖 ,是本次评选获奖总量最多、一级贡献奖最多的厂

继续阅读

B站员工植入恶意代码报复用户,官方:漏洞已修补,员工已处罚

发布于 作者:

B站员工植入恶意代码报复用户,官方:漏洞已修补,员工已处罚 安全内参 2025-01-21 10:07 关注我们 带你读懂网络安全 B站一名员工滥用权限,让某用户使用B站网页端观看视频时,被错误提示“账号已被封禁” 正在新闻热点组 近日,B站一名员工滥用权限,让某用户使用B站网页端观看视频时,被错误提示“账号已被封禁”,引发广泛关注。 1月21日,B站客服告诉《正在新闻》网站漏洞已经被修补,涉事员

继续阅读

报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析

发布于 作者:

报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析 看雪课程 看雪学苑 2025-01-21 09:59 如今,无人机已经成为各行各业的重要工具,其应用场景日益广泛。例如从军事侦察到物流配送,从影视拍摄到农业监测。随着无人机技术的普及,其安全问题也逐渐凸显。例如无人机遭受黑客攻击、数据泄露、飞行失控等安全事件屡见不鲜,给个人隐私、企业资产乃至国家安全带来了严重威胁。 掌握无人机安全攻防

继续阅读

奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深

发布于 作者:

奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深 虎符智库 2025-01-21 09:57 本文 2660 字    阅读约需 9 分钟 2025年1月21日,奇安信发布《2024年度网络安全漏洞威胁态势研究报告》(以下简称:《报告》)。《报告》指出,2024年全球新增漏洞数量再创新高,漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网(IoT)、国 产软件以及关键基础设

继续阅读

SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS

发布于 作者:

SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS 原创 zangcc Eureka安全 2025-01-21 09:29 点击上方 蓝字 关注我们 0x01 前言 这是之前我在edusrc挖的一个小漏洞。如果是单纯的反射型xss,平台是不收录的,但是我这个xss属于是多个漏洞在一起的组合。当时本来是想打一个有证书的高校,但是最后才发现不对劲,这个名字跟我挖的这个实在是太像了,打歪了。。

继续阅读

Windows 零日漏洞遭利用:CVE-2024-49138 PoC 代码发布

发布于 作者:

Windows 零日漏洞遭利用:CVE-2024-49138 PoC 代码发布 Ots安全 2025-01-21 09:28 安全研究员 MrAle_98 最近发布了一个针对零日漏洞 CVE-2024-49138 的概念验证 (PoC) 漏洞。此漏洞影响 Windows 通用日志文件系统 (CLFS) 驱动程序,CVSS 评分为 7.8,允许攻击者在受影响的设备上获得 SYSTEM 权限。 该漏洞

继续阅读

中小企业及创业公司信息安全建设指南

发布于 作者:

中小企业及创业公司信息安全建设指南 原创 Monyer 梦之光芒 梦之光芒的电子梦 2025-01-21 09:17 注:本文以问答的形式来形成这份“中小企业及创业公司信息安全建设指南”,文中探讨了信息安全之于公司发展前期、团队建设、安全运营阶段及安全价值的各方面问题,助力企业做好信息安全建设。 一、公司发展前期 – 一家公司从什么时候起,应该研究建立信息安全部门? 几乎所有的大公司都

继续阅读

2025年首个满分漏洞,PoC已公布,可部署后门

发布于 作者:

2025年首个满分漏洞,PoC已公布,可部署后门 点击关注 👉 马哥网络安全 2025-01-21 09:00 云攻击者正在大肆利用名为Max – Critical Aviatrix RCE漏洞(编号CVE-2024-50603),此漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码,网络犯罪分子借此漏洞植入恶意软件。 最坏的情况下,该漏洞会让未

继续阅读

蛇年新禧,祥福并济|360漏洞云漏洞众包响应平台放假公告

发布于 作者:

蛇年新禧,祥福并济|360漏洞云漏洞众包响应平台放假公告 360漏洞众包响应平台 2025-01-21 08:54 平台放假公告 HAPPY NEW YEAR – 一 二 三 四 五 六 日 27 廿八 28 除夕 29 春节 30 初二 31 初三 1 初四 2 初五 3 立春 4 初七 5 初八 6 初九 7 初十 8 班 9 十二 尊敬的安全研究员: 感谢您长期以来对360漏洞云

继续阅读

蛇年新禧,祥福并济|360漏洞云平台放假公告

发布于 作者:

蛇年新禧,祥福并济|360漏洞云平台放假公告 360漏洞云 2025-01-21 08:49 平台放假公告 HAPPY NEW YEAR – 一 二 三 四 五 六 日 27 廿八 28 除夕 29 春节 30 初二 31 初三 1 初四 2 初五 3 立春 4 初七 5 初八 6 初九 7 初十 8 班 9 十二 尊敬的安全研究员: 感谢您长期以来对360漏洞云平台的支持与关注!时光

继续阅读

《网信自主创新调研报告》表彰大会召开,360漏洞云获多项荣誉

发布于 作者:

《网信自主创新调研报告》表彰大会召开,360漏洞云获多项荣誉 360漏洞云 2025-01-21 08:49 1月18日,《网信自主创新调研报告》编委会在北京召开了2024年度表彰大会。来自编委会和报告参编单位的近30名代表参加了会议。会议对为《网信自主创新调研报告》编写和发布做出重要贡献的人员颁发了先进工作者证书,同时启动了“网信自主创新百人论坛”。360漏洞云总经理胡晓娜荣获生态领域先进工作者

继续阅读

卓软计量业务管理平台 image.ashx 任意文件读取漏洞

发布于 作者:

卓软计量业务管理平台 image.ashx 任意文件读取漏洞 Superhero nday POC 2025-01-21 07:52 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章

继续阅读

靶机复现-pikachu靶场文件包含漏洞

发布于 作者:

靶机复现-pikachu靶场文件包含漏洞 泷羽SEC-ohh 2025-01-21 07:28 本篇文章旨在为网络安全渗透测试靶机复现学习。通过阅读本文,读者将能够对渗透pikachu靶场文件包含漏洞复现有一定的了解 原文学习链接 CSDN博主: One_Blanks 靶机资源下载 phpstudy pikachu 一、前言 文件包含漏洞是编程中的一种安全隐患,常见于PHP等语言。它源于程序运行时

继续阅读

盘点 2024 年备受关注的那些高风险漏洞

发布于 作者:

盘点 2024 年备受关注的那些高风险漏洞 原创 404实验室 知道创宇404实验室 2025-01-21 07:20 2024年,网络安全领域接连曝出了一系列高危漏洞,这些漏洞不仅影响范围广泛,而且破坏力极大,对全球的网络安全构成了严峻挑战。以下是我们从今年的安全漏洞应急中总结出的一些颇具危害性和影响力的网络安全漏洞,排名不分先后,当然,我们也从Seebug漏洞平台访问数据和ZoomEye网络空

继续阅读

灵当CRM getMyAmbassador SQL注入漏洞

发布于 作者:

灵当CRM getMyAmbassador SQL注入漏洞 Superhero nday POC 2025-01-21 06:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并

继续阅读

商混ERP系统 SQL注入漏洞复现

发布于 作者:

商混ERP系统 SQL注入漏洞复现 孔方兄 巢安实验室 2025-01-21 06:30 一、漏洞介绍 杭州荷花软件有限公司开发的商混ERP系统。这套系统主要是处理建筑公司或者各项工程的搅拌站管理,内部含有销售模块、生产管理模块、实验室模块、人员管理等,该公司的商品混凝土ERP系统/Sys/DictionaryEdit.aspx处dict_key参数存在SQL报错注入漏洞,攻击者可通过该漏洞获取数

继续阅读

【漏洞预警】MongoDB Mongoose未授权 代码注入漏洞CVE-2025-2306

发布于 作者:

【漏洞预警】MongoDB Mongoose未授权 代码注入漏洞CVE-2025-2306 cexlife 飓风网络安全 2025-01-21 05:40 漏洞描述: Mongoose库被发现存在严重漏洞,该漏洞源于对嵌套的$where过滤器处理不当,可能被攻击者利用来暴露敏感数据和操纵搜索结果,全网有超过140万个使用Mongoose httpd 服务器的应用可能受到此漏洞影响,建议受影响用户及

继续阅读