月度归档: 2025 年 2 月

打开邮件即中招!Outlook高危漏洞曝光:黑客可远程执行代码

发布于 作者:

打开邮件即中招!Outlook高危漏洞曝光:黑客可远程执行代码 看雪学苑 看雪学苑 2025-02-08 09:59 美国网络安全和基础设施安全局(CISA)于2月7日发布公告,要求美国联邦机构在2月27日前完成系统补丁部署,以修复微软Outlook高危远程代码执行漏洞。该漏洞编号为CVE-2024-21413,由网络安全公司Check Point Research的安全专家Haifei Li在2

继续阅读

关于PAN-OS DoS(CVE-2024-3393)的研究

发布于 作者:

关于PAN-OS DoS(CVE-2024-3393)的研究 pz1o 看雪学苑 2025-02-08 09:59 前段时间Palo Alto发布了一项漏洞通告[1],看漏洞信息是PAN-OS数据平面处理流量时产生DoS,其实之前PAN-OS也有过这样的DoS漏洞。但令笔者好奇的是,这次居然会影响Prisma Access,这款产品是Palo Alto公司实现零信任的关键组件,遂准备花些时间去做一

继续阅读

正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛

发布于 作者:

正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛 赛查查 2025-02-08 09:43 赛事亮点: 专业指导:由国家计算机网络应急技术处理协调中心指导,权威认证。 实战化平台:VMCourse实践教育平台助力初赛,网络安全众测平台支撑决赛,技术资源全面开放。 国产化挑战:决赛靶标采用国产化软硬件环境,紧跟国家信创战略,挑战国产安全新高度。 顶尖团队竞技:邀请全国高等院校网络安全专业学子及

继续阅读

Apache Calcite Avatica 远程代码执行 CVE-2022-36364

发布于 作者:

Apache Calcite Avatica 远程代码执行 CVE-2022-36364 原创 标准云 蚁景网络安全 2025-02-08 09:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询

继续阅读

调查显示:75%的员工被要求为网络安全漏洞“背锅”

发布于 作者:

调查显示:75%的员工被要求为网络安全漏洞“背锅” 数世咨询 2025-02-08 08:02 调查概述: 根据IT.ie和SonicWall发布的一项新研究,接近四分之三的爱尔兰办公室员工认为,企业将网络安全事件的责任归咎于员工个人。该项调查由Censuswide进行,针对1000名爱尔兰办公室工作人员展开,调查结果揭示了“责任文化”对网络安全实践的影响,突显出亟需采取策略鼓励员工更开放地报告问

继续阅读

春秋云镜靶场Initial_WP

发布于 作者:

春秋云镜靶场Initial_WP 原创 t3 ZeroPointZero安全团队 2025-02-08 06:34 此靶机只需要交一个 flag ,而把这个 flag 分成 3 段,分别位于每个靶机的用户下. FLAG1: 访问服务可以看见映入眼帘的ThinkPhP框架 直接掏出我们的Thinkphp一把梭工具,造! 成功连上webshell后进行简单信息收集,发现mysql数据库root是无需密

继续阅读

信息安全漏洞周报(2025年第5期)

发布于 作者:

信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息

继续阅读

信息安全漏洞周报(2025年第4期)

发布于 作者:

信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27

继续阅读

XSS漏洞挖掘插件

发布于 作者:

XSS漏洞挖掘插件 黑白之道 2025-02-08 06:09 工具介绍 对<a herf标签和form表单中的参数进行遍历 功能特性 根据自己提供的xsspayload进行批量测试,默认使用的是 分析页面可以利用的参数:有action属性的form表单,a标签herf属性值 安装使用 安装插件:将插件文件夹托到浏览器的扩展程序中就ok了(目前只支持chrome内核的浏览器)。 使用插件:点

继续阅读

XSS漏洞挖掘上

发布于 作者:

XSS漏洞挖掘上 GG安全 2025-02-08 05:53 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! XSS漏洞挖掘 XSS漏洞最简单的理解就是将我们输入的内容解析为HTML 像下面的案例就不存在xss漏洞,因为你

继续阅读

【0day】码支付系统存在前台任意文件读取漏洞

发布于 作者:

【0day】码支付系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2025-02-08 04:53 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa

继续阅读

某系统webpack接口泄露引发的一系列漏洞

发布于 作者:

某系统webpack接口泄露引发的一系列漏洞 原创 zkaq – 腾风起 掌控安全EDU 2025-02-08 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 信息搜集 这里找到从小穿一条裤子长大的兄弟,要挟他交出来他的统一账号,否则把小时候的照片挂网上

继续阅读

从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用

发布于 作者:

从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用 原创 sanlihesec 独角鲸网络安全实验室 2025-02-08 03:51 大家好!今天,我想和大家聊聊一个非常有趣的话题,它源于最近大火的电影《哪吒2》。你们还记得那个情节吗?无量仙翁去天牢,结果需要扫脸才能打开门。这本来是个高科技的设定,但问题来了,之前他被哪吒和敖丙揍得很惨,脸都变形了,系统直接识别不了。没办法,只能重新录入现

继续阅读

【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞

发布于 作者:

【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞 聚铭网络 2025-02-08 03:18 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 国家数据局《数据领域常用名词解释 (第二批)》公开征求意见 2 重磅!我国启动抗量子加密算法征集活动 3 发现2650个DeepSeek山寨域名,网络安全风险警示

继续阅读

西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞

发布于 作者:

西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞 Superhero nday POC 2025-02-08 03:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立

继续阅读

锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】

发布于 作者:

锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2025-02-08 02:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 锐捷系统auth接口处存在远程命令执行漏洞。 攻击者 可能利用此

继续阅读

黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件

发布于 作者:

黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件 邑安科技 邑安全 2025-02-08 02:36 更多全球网络安全资讯尽在邑安全 据观察,威胁行为者利用 SimpleHelp 远程监控和管理 (RMM) 软件中最近披露的安全漏洞作为似乎是勒索软件攻击的前兆。 某网络安全公司的在新闻报道中表示,此次入侵利用了现已修复的漏洞,初步获取了对某个未公开目标网络的访问权限,并维持了持久

继续阅读

2025我希望大家的钱包更充实一点 SRC漏洞挖掘培训

发布于 作者:

2025我希望大家的钱包更充实一点 SRC漏洞挖掘培训 EnhancerSec 2025-02-08 02:02 前言 SRC是安全应急响应平台,我们可以向他们提交漏洞,以此来换取赏金。 在经济下行的2025年,我们都希望大家能够在工作之余通过副业充实自己的钱包。通过向SRC平台提交漏洞换取赏金不外乎是一个不错的选择,我们有十余年培训经验的讲师帮助基础薄弱或零基础的同学巩固基础,有在SRC漏洞挖掘

继续阅读

网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞

发布于 作者:

网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞 Superhero nday POC 2025-02-08 01:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们

继续阅读

.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞

发布于 作者:

.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测

继续阅读

渗透测试 | 文件读取漏洞实战利用

发布于 作者:

渗透测试 | 文件读取漏洞实战利用 subjcw 神农Sec 2025-02-08 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/4017 作者:subjcw 0x1 Nginx配置文件利用 第一处文件读取

继续阅读

Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因

发布于 作者:

Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因 原创 安全圈我最菜wu 安全圈我最菜wu 2025-02-07 16:24 该漏洞影响运行于 Windows 系统 的 Solr 实例,核心问题在于其  configset 上传 API  对上传的 ZIP 文件未进行严格的路径合法性校验。攻击者可通过构造包含 相对路径(如  ../ ) 的恶意 ZIP 文件,将文件写入系

继续阅读

黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击

发布于 作者:

黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击 Rhinoer 犀牛安全 2025-02-07 16:00 攻击者正在利用 Aviatrix Controller 实例中一个严重的远程命令执行漏洞(CVE-2024-50603)来安装后门和加密矿工。 Aviatrix 控制器是 Aviatrix 云网络平台的一部分,可增强多云环境的网络、安全性和运营可视性。它可供企业、

继续阅读

网络摄像头漏洞审计 — ipcsuite(2月6日更新)

发布于 作者:

网络摄像头漏洞审计 — ipcsuite(2月6日更新) PrismName 网络安全者 2025-02-07 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权

继续阅读