信息安全漏洞月报(2025年1月)
信息安全漏洞月报(2025年1月) 原创 CNNVD CNNVD安全动态 2025-02-10 02:31 点击蓝字 关注我们 漏洞态势**** 根据国家信息安全漏洞库(CNNVD)统计,2025年1月采集安全漏洞共4268个。 本月接报漏洞1610个,其中信息技术产品漏洞(通用型漏洞)1031个,网络信息系统漏洞(事件型漏洞)579个。漏洞平台推送漏洞33579个。 重大漏洞通报 Fortine
继续阅读月度归档: 2025 年 2 月
用友NC 漏洞分析–cartabletimeline存在SQL注入
用友NC 漏洞分析–cartabletimeline存在SQL注入 WLwl 神农Sec 2025-02-10 02:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/article/627 作者:WLwl 0x1
继续阅读[工具推荐]jeecgBoot漏洞利用工具
[工具推荐]jeecgBoot漏洞利用工具 原创 zzz 良月安全 2025-02-10 02:01 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 工具链接 https://github.com/7wkajk/
继续阅读修复 Rsync 漏洞 CVE-2024-12084
修复 Rsync 漏洞 CVE-2024-12084 原创 ralap 网络个人修炼 2025-02-10 02:00 Rsync 最近爆出一个重大漏洞(CVE-2024-12084),CVSS 评分为 9.8。该漏洞仅存在于 Rsync 3.2.7 和 3.3.0 版本中。为了解决这一安全问题,建议将 Rsync 升级到 3.4.0 或更高版本。当前最新版本为 3.4.1(官网链接https:/
继续阅读『杂项』SSH公私钥认证原理及相关漏洞
『杂项』SSH公私钥认证原理及相关漏洞 黑白之道 2025-02-10 01:51 0x01 前言 随着信息安全意识的提升,SSH (Secure Shell)作为一种安全的远程登录协议,被广泛应用于服务器管理、数据传输等领域。SSH 的核心机制之一是公私钥认证,它相比密码认证更安全,能有效抵御暴力破解和中间人攻击。然而,公私钥认证并非绝对安全,其背后还隐藏着一些潜在的漏洞。本篇文章将深入探讨 S
继续阅读Bombon 方法论:我将如何测试Web缓存漏洞
Bombon 方法论:我将如何测试Web缓存漏洞 船山信安 2025-02-10 01:02 什么是Web缓存漏洞 Web缓存漏洞是指由于缓存机制配置或实现不当,导致攻击者可通过操纵缓存内容获取敏感信息、篡改数据或破坏服务安全性的安全风险。常见攻击包括缓存投毒 (注入恶意响应误导用户)、缓存欺骗 (诱骗缓存存储私密数据)以及未授权缓存 (泄露本应受限的内容)。防御需严格校验缓存内容、限制敏感数据缓
继续阅读DeepSeek 又被攻击,本地化部署是否安全?
DeepSeek 又被攻击,本地化部署是否安全? 原创 sanlihesec 独角鲸网络安全实验室 2025-02-09 23:30 DeepSeek 再次遭受大规模网络攻击,引发了公众对其服务稳定性和数据安全性的担忧。在这样的背景下,许多人开始探讨本地化部署 DeepSeek 是否能够有效避免安全问题。 一、DeepSeek 遭遇攻击的背景与影响 DeepSeek 作为中国新兴的 AI 平台,自
继续阅读渗透实战 | 微信小程序EDUSRC渗透漏洞复盘
渗透实战 | 微信小程序EDUSRC渗透漏洞复盘 不秃头的安全 2025-02-09 23:21 微信小程序EDUSRC渗透漏洞复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论, 严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?知识星球最后一次优惠,续费也有优惠私聊~~考证请加联系vx咨询 0x1 前言 哈喽,师傅们这次又来给师傅们分享
继续阅读CTFHub-RCE题目wp
CTFHub-RCE题目wp 原创 track 泷羽Sec-track 2025-02-09 17:47 引言 题目共有如下类型 什么是RCE漏洞 RCE漏洞,全称是Remote Code Execution 漏洞,翻译成中文就是远程代码执行 漏洞。顾名思义,这是一种安全漏洞,允许攻击者在受害者的系统上远程执行任意代码 eval执行 分析源码: <?php if (isset($_REQU
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧
记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读APP渗透测试 — 从代码讲逻辑漏洞
APP渗透测试 — 从代码讲逻辑漏洞 网络安全者 2025-02-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/9a5f31d09414 00:03 – 探讨PHP程序中的逻辑漏洞问题 在本次课程中,首先介绍了使用PHP 1.6版本的程序,通过一个具体示例,详细讲解了后台逻辑漏洞的问题。具体来说,
继续阅读漏洞公开——从弱口令到通杀
漏洞公开——从弱口令到通杀 Z2O安全攻防 2025-02-09 15:41 No.1 起源 一切的一切,都源自于Sheen神挖到的那张CNVD…… 我羡慕得眼红,梦里都是证书,证书上都是我名字 可惜…梦醒了,我还是那个我,神还是那个神 不!我不能这样!我要拿证书!!!! 于是我打开了Edu SRC,目光锁定了最近上架的新证书——某学院的漏洞报送证书 No.2
继续阅读0到实战案例(CSRF漏洞)
0到实战案例(CSRF漏洞) sec0nd安全 2025-02-09 15:01 原理 用户登录目标网站 A 用户 C 在浏览器中访问 受信任网站 A,输入用户名和密码成功登录,网站 A 生成 Cookie 存储身份信息。 用户访问恶意网站 B 用户 C 没有退出网站 A,又在同一浏览器中打开另一个网页 网站 B(可能是钓鱼站点或被攻击者控制的页面)。 恶意网站 B 发送伪造请求 网站 B 含有攻
继续阅读【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷?
【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷? 知机安全 知机安全 2025-02-09 10:01 1. Hugging Face冒出两份恶意机器学习模型,巧妙利用pickle文件避开检测 网络安全研究人员在Hugging Face platform上发现了两份利用奇特的“损坏”pickle文件技术的恶意机器学习模型,这种策略被
继续阅读英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击
英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击 Rhinoer 犀牛安全 2025-02-09 09:44 Nominet 是 .UK 官方域名注册机构,也是最大的国家代码注册机构之一,该公司已确认其网络两周前遭 Ivanti VPN 零日漏洞攻击。 该公司管理和运营超过 1100 万个 .uk、.co.uk 和 .gov .uk 域名以及其他顶级域名,包括 .cymru
继续阅读实战如何通过Druid提升至高危漏洞
实战如何通过Druid提升至高危漏洞 实战安全研究 2025-02-09 09:06 免责声明 本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。 本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。 本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技
继续阅读中信银行收罚单,因未及时处置数据安全漏洞风险等
中信银行收罚单,因未及时处置数据安全漏洞风险等 点击关注-> 安知讯 2025-02-09 08:55 《银行科技研究社》 : 近期,中国人民银行日照市分行发布的行政处罚信息显示,中信银行日照分行因“违反金融统计相关规定;未按规定履行客户身份识别义务;未及时处置数据安全漏洞风险;未制定网络安全事件应急预案”等4项违法行为,被警告,并被罚款54万元。 同时,时任中信银行日照分行零售银行部副总经
继续阅读朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞
【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-02-09 04:36 来源:https://www.ddpoc.com/DVB-2024-8374.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告
【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告 嘉诚安全 2025-02-09 01:00 漏洞背景 近日,嘉诚安全监测到Go Darwin 构建代码执行漏洞,漏洞编号为: CVE-2025-22867。 Go(也称为 Golang)是由 Google 开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。它具有垃圾回收、内存安全和强大的并发支持(goroutines)。Go
继续阅读快速上手渗透测试报告写作:从WP到甲方报告的一站式指南
快速上手渗透测试报告写作:从WP到甲方报告的一站式指南 原创 泷羽Sec-静安 泷羽Sec-静安 2025-02-08 22:01 关注公众号泷羽Sec-静安 ,回复关键词找工具+WP 获取本文分享的WP模板和工具 师傅们在渗透测试过程中肯定要写WP和报告,这里分享我个人关于怎么快速写出格式整齐,内容完整详细,方便后期复现回溯的WP或者称“渗透测试报告”的经验。 软件和工具 首先,记笔记的首选语言
继续阅读0026. 管理面板漏洞—访问罗技管理后台
0026. 管理面板漏洞—访问罗技管理后台 aman singh Rsec 2025-02-08 16:21 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自国外互联网,如你是原作者,请联系我们! 标签:登录绕过 大家好,时隔许久,我又回来写一篇有趣的文章了。由于一些问题,今年我没有搜索过任何一款应用。希望一切很快好起来。所以,让我们不要浪费时间,赶紧开始吧! 图1
继续阅读人工智能和云漏洞并不是当今CISO 面临的唯一威胁
人工智能和云漏洞并不是当今CISO 面临的唯一威胁 铸盾安全 河南等级保护测评 2025-02-08 16:01 随着云基础设施以及最近的人工智能 (AI) 系统成为攻击者的主要目标,安全领导者正集中精力保护这些备受关注的领域。他们这样做也是正确的,因为网络犯罪分子转向新兴技术来发起和扩大越来越复杂的攻击。 然而,对新兴威胁的高度关注使得人们很容易忽视传统的攻击媒介,例如人为的社会工程学和物理安全
继续阅读【漏洞预警】JeecgBoot SQL注入漏洞
【漏洞预警】JeecgBoot SQL注入漏洞 cexlife 飓风网络安全 2025-02-08 13:58 漏洞描述: JеесɡBооt v.3.7.2中的SQL注入漏洞允许远程攻击者通过ɡеtTоtаlDаtа组件获取敏感信息。 影响产品及版本:JeecgBootv.3.7.2攻击场景:攻击者可能通过getTotalData组件上传恶意文件,获取敏感信息。修复建议:JeecgBoot官方发
继续阅读微软 Edge 存在允许攻击者执行远程代码漏洞
微软 Edge 存在允许攻击者执行远程代码漏洞 网安百色 2025-02-08 11:38 点击上方 蓝字 关注我们吧~ 微软已发布针对其 Edge 浏览器的关键安全更新,修复了多个漏洞,这些漏洞可能允许攻击者执行远程代码并危及用户系统。 在最新的 Microsoft Edge 版本(版本 133.0.3065.51,基于 Chromium 133.0.6943.53/54)中发现了四个重大漏洞:
继续阅读漏洞盒子助力 | 5悔向未来 五家SRC联合众测限时启动!
漏洞盒子助力 | 5悔向未来 五家SRC联合众测限时启动! 漏洞盒子VulBox 2025-02-08 11:16 度小满SRC 5岁啦! 因为热爱相遇 因为热爱坚持 生日爬梯 诚邀参与~ 「满」是热爱❤️ “5” 悔向未来!👋
继续阅读【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 安全圈 2025-02-08 11:02 关键词 恶意软件 科技媒体 bleepingcomputer 昨日(2 月 6 日)发布博文,报道称微软发出示警,有攻击者正利用网上公开的 ASP.NET 静态密钥,通过 ViewState 代码注入攻击部署恶意软件。 微软威胁情报专家近期发现,一些开发者在软件开发中使用了
继续阅读CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用
CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用 Ots安全 2025-02-08 10:32 Microsoft Outlook 中一个严重漏洞(编号为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。该漏洞的 CVSS 评分为 9.8(满分 10 分),攻击者只需打开恶意电子邮件即可远程执行任意代码。 该漏洞由 C
继续阅读UWB技术在汽车安全中的应用
UWB技术在汽车安全中的应用 谈思实验室 2025-02-08 10:20 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 数字钥匙的深度剖析 随着科技的不断进步,各种技术正在悄然改变我们的日常生活。为了真正造福人类,技术不仅要简单易用,还需要具备安全性、可靠性和可信性。在这些技术中,射频(RF)技术无疑已经渗透到我们的生活中,从家家户户的Wi-Fi网络到智能手机的蜂窝通信,再到蓝牙技术
继续阅读招生中!系统0day安全-IOT设备漏洞挖掘(第6期)
招生中!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-02-08 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。 然而,随着IoT设备的普及,安全问题也日益凸显。 IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexu
继续阅读