上海企业福利来袭:免费漏洞检测,守护您的数据安全!
上海企业福利来袭:免费漏洞检测,守护您的数据安全! 原创 等保测评咨询 等保测评咨询服务 2025-02-27 05:16 点击预约免费漏洞扫描 在这个信息技术飞速发展的时代,网络安全已成为企业发展的基石。上海,作为中国的经济中心和国际大都市,其企业面临着日益复杂多变的网络威胁。为积极响应国家网络强国战略,助力本地企业提升网络安全防护能力,我司作为专业的等保测评机构,特面向全市企业推出免费漏洞扫描
继续阅读月度归档: 2025 年 2 月
邀您参加 | OffSec OSEE(EXP-401)高级 Windows 漏洞利用开发
邀您参加 | OffSec OSEE(EXP-401)高级 Windows 漏洞利用开发 直播公开课 谷安天下 2025-02-27 04:30 EXP-401:高级Windows 漏洞利用开发,基于Windows 平台的现代漏洞利用需要最新的规避方法来绕过Microsoft的防御,是Offsec顶级也最具挑战的课程。 以复杂的实操靶机实验室环境为特色,挑战学员发挥他们最好的渗透测试技能。要求学习
继续阅读【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)安全风险通告
【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)安全风险通告 奇安信 CERT 2025-02-27 03:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NAKIVO Backup & Replication任意文件读取漏洞 漏洞编号 QVD-2025-8756,CVE-2024-48248
继续阅读若依Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等
若依Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等 黑白之道 2025-02-27 02:04 工具介绍 若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测、SQL 注入检测、定时任务漏洞检测和任意密码修改漏洞检测等 工具下载 https://g
继续阅读【挖洞之旅】一种验证码爆破漏洞的全新思路 | 简单实用
【挖洞之旅】一种验证码爆破漏洞的全新思路 | 简单实用 黑白之道 2025-02-27 02:04 1► 前言 以往,遇到验证码,测试爆破都是重发几次,如果有次数限制大家就不会继续挖了,其实还有个方法可以尝试,我已经通过这个方法得到不少赏金,希望思路对大家有用。 验证码认证分为两个步骤: 1. 请求验证码 校验验证码 一般常见的验证码爆破就是在第二个校验阶段进行的,一般防护都会对校验次数进行验证,
继续阅读实战纪实 | 真实HW漏洞流量告警分析
实战纪实 | 真实HW漏洞流量告警分析 实战安全研究 2025-02-27 02:01 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 今年七月,我去到了北京某大厂参加HW行动,因为是重点领域—-jr,所以每天态势感知设备上都有大量的告警,当时非常累,感觉每天睡醒就是盯屏
继续阅读苹果CVE-2025-24104漏洞未完全修复,可以读取沙盒外的文件
苹果CVE-2025-24104漏洞未完全修复,可以读取沙盒外的文件 独眼情报 2025-02-27 01:43 CVE-2025-24104 漏洞分析:沙箱外文件读取 我报告了一个后来被 Apple 标记为 CVE-2025-24104 的漏洞。在我最初的报告中,我展示了恶意备份如何可以绕过沙箱限制。然而,Apple 的初始描述称这个漏洞可能导致受保护的系统文件被修改。我想澄清一点:这个漏洞实
继续阅读暗网 0day 漏洞售卖预警
暗网 0day 漏洞售卖预警 独眼情报 2025-02-27 01:43 一名以“Vanger”为别名的网络犯罪分子出现在地下论坛上,提供针对 VMware ESXi 虚拟机管理程序的0day。 据称,该漏洞可实现虚拟机逃逸 (VME),其售价高达 15 万美元。如果属实,该漏洞可让攻击者从客户虚拟机 (VM) 侵入主机系统,对虚拟化环境构成严重威胁。 据报道,该漏洞影响 VMware ESXi
继续阅读工具集:AppMessenger【一款适用于以APP病毒分析、APP漏洞挖掘等场景的Android、iOS、鸿蒙辅助分析工具】
工具集:AppMessenger【一款适用于以APP病毒分析、APP漏洞挖掘等场景的Android、iOS、鸿蒙辅助分析工具】 wolven 风铃Sec 2025-02-27 00:28 工具介绍 一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、鸿蒙)辅助分析工具,可以帮助APP开发工程师、病毒分析师、漏洞/安全研究员提高
继续阅读.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码
.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-27 00:27 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留
继续阅读黑客最不想让你看到的,2024年漏洞攻击数据真相
黑客最不想让你看到的,2024年漏洞攻击数据真相 原创 微步情报局 微步在线 2025-02-27 00:26 如果网络世界每12分钟就会出现一个新漏洞,你的防御系统能扛多久? 这是来自2024年攻击者提出的一个问题。 根据微步最新发布的《2024年漏洞情报年报》,2024年漏洞数量、漏洞增长“再创新高”,全年整体爆出漏洞超4万个,相当于每12分钟就会诞生一个新漏洞。不过,关于2024年的漏洞攻击
继续阅读审计分析02 | 无鉴权路径拿下文件读取漏洞
审计分析02 | 无鉴权路径拿下文件读取漏洞 原创 匿名白帽子 WK安全 2025-02-27 00:11 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 上次分析了一下路径的鉴权,成功找到了无鉴权路径,然后通过搜索关键词”
继续阅读漏洞预警 | 锐明技术Crocus系统信息泄露漏洞
漏洞预警 | 锐明技术Crocus系统信息泄露漏洞 浅安 浅安安全 2025-02-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 锐明技术作为一家专注于AI和视频技术的商用车智能物联解决方案提供商,Crocus系统是其核心产品之一。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息 简述: Crocus
继续阅读漏洞预警 | NUUO摄像头远程代码执行漏洞
漏洞预警 | NUUO摄像头远程代码执行漏洞 浅安 浅安安全 2025-02-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NUUO摄像头是一款功能丰富、性能稳定的监控设备,适用于各种安全监控需求。它的高清录制、远程监控和智能检测等功能使得它在市场上具有较高的竞争力。 0x03 漏洞详情 漏洞类型: 远程代码执行 影响
继续阅读(0day)漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞
(0day)漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-02-27 00:01 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 安美数字酒店宽带运营系统是通过提供系统数据分析报表和带宽动态管理功能来确保在有限的资源内优化上网体验并改善服务质量。 0x04 漏洞详情 漏洞类型:SQL注入 影响:获取敏感
继续阅读CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。
CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。 savior-only 夜组安全 2025-02-27 00:00 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所
继续阅读锐捷RCE漏洞检测工具 — RuijieRCE(2月26日更新)
锐捷RCE漏洞检测工具 — RuijieRCE(2月26日更新) inbornavenue Web安全工具库 2025-02-26 16:03 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,
继续阅读安全服务集成化工具平台,希望能帮助你少开几个应用测试|漏洞探测
安全服务集成化工具平台,希望能帮助你少开几个应用测试|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-26 16:01 0x01 工具介绍 安全服务集成化工具平台,帮助用户通过自动化工具进行安全测试,减少开多个应用程序的需求。平台提供了网站扫描、目录扫描、公司信息查询、空间搜索、数据库自动取样、加解密模块、Fscan数据处理等功能。它支持多种常见安全检测需求,结合了强大的扫描引
继续阅读灵当CRM Ambassador接口处存在SQL注入漏洞 漏洞预警
灵当CRM Ambassador接口处存在SQL注入漏洞 漏洞预警 2025-2-26更新 南风漏洞复现文库 2025-02-26 15:19 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 灵当CRM 简介 微信公众号搜索:南风漏洞复
继续阅读“后大航海时代”,网络安全行业转型思考
“后大航海时代”,网络安全行业转型思考 锐安全 2025-02-26 14:24 张晓兵,掌数信息首席战略官(CSO),网安领域资深专家,网络安全体系的思考者与践行者。 2024年受邀参加由中国广播电视社会组织联合会等联合主办的“人工智能技术培训班”,以 “AI大时代: 我们的AI实践之路”为主题进行了技术分享。 网络安全行业到底出了什么问题?当问题抛给张晓兵——这个对行业现状、技术发展和未来趋势
继续阅读价值3.5W美元的账户接管漏洞
价值3.5W美元的账户接管漏洞 原创 道玄安全 道玄网安驿站 2025-02-26 14:14 “ 双写绕过出神力” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可
继续阅读【漏洞预警】Estatik代码执行漏洞(CVE-2025-26905)
【漏洞预警】Estatik代码执行漏洞(CVE-2025-26905) cexlife 飓风网络安全 2025-02-26 14:13 漏洞描述: Eѕtаtik中存在路径名限制不当路径遍历漏洞,允许PHP本地文件包含,这个问题影响的Eѕtаtik版本范围是从n/а到4.1.9。 攻击场景: 攻击者可能通过上传恶意文件来攻击系统 影响产品: Estatik<=4.1.9 修复建议: 安装补
继续阅读jeecgBoot漏洞利用工具 – jeecgBootAttack
jeecgBoot漏洞利用工具 – jeecgBootAttack GSDNC GSDK安全团队 2025-02-26 13:20 01 项目地址 https://github.com/7wkajk/jeecgBootAttack/ 02 项目介绍 jeecgBoot漏洞利用工具, 目前支持queryFieldBySql Freemarker模板注入、testConnection JD
继续阅读一个挖掘权限类漏洞的神器
一个挖掘权限类漏洞的神器 迪哥讲事 2025-02-26 12:51 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 分享一个挖越权漏洞的好手,居家渗透必备的burp插件,测试未授权,越权咔咔牛逼。 2 Action 这是
继续阅读Log4j CVE-2021-44228远程代码执行漏洞
Log4j CVE-2021-44228远程代码执行漏洞 原创 Hacker 0xh4ck3r 2025-02-26 12:20 Log4j CVE-2021-44228远程代码执行漏洞 影响范围 Apache Log4j 2.x <= 2.14.1 漏洞成因 Log4j2默认支持解析ldap/rmi协议,并会通过名称从ldap服务端其获取对应的Class文件,并使用ClassLoader在
继续阅读Windows 内核模式 Shadow Stack 漏洞利用开发研究
Windows 内核模式 Shadow Stack 漏洞利用开发研究 Connor McGarr securitainment 2025-02-26 11:49 【翻译】Exploit Development Investigating Kernel Mode Shadow Stacks on Windows 简介 不久前我在加利福尼亚的 SANS HackFest 2024 上做了 一个演讲 。
继续阅读CVE-2025-20029:F5 Big-IP限制性CLI中的TMSH CLI注入命令注入
CVE-2025-20029:F5 Big-IP限制性CLI中的TMSH CLI注入命令注入 Ots安全 2025-02-26 11:30 CVE-2025-20029:F5 BIG-IP 中 TMSH CLI 的命令注入 F5“tmsh”受限 CLI 中存在命令注入漏洞,该漏洞允许经过身份验证的攻击者利用低权限用户可访问的命令来绕过限制、注入任意命令并以目标系统上的“root”用户身份获取远程代
继续阅读0day漏洞:Parallels Desktop Repack Root权限提升
0day漏洞:Parallels Desktop Repack Root权限提升 Ots安全 2025-02-26 11:30 今天,我披露了一个可以绕过CVE-2024-34331补丁的0-day 漏洞。我已经确定了两种不同的方法来绕过该修复程序。这两种绕过方法都分别报告给了Zero Day Initiative (ZDI)和受影响的供应商Parallels。不幸的是,他们的回应非常不令人满意。
继续阅读安全通告丨网络安全漏洞通告(2025年2月)
安全通告丨网络安全漏洞通告(2025年2月) 创信华通 2025-02-26 10:59 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2025.2 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通告漏
继续阅读MITRE Caldera所有版本皆存在满分RCE漏洞
MITRE Caldera所有版本皆存在满分RCE漏洞 Jai Vijayan 代码卫士 2025-02-26 10:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 MITRE Caldera 所有版本受一个CVSS评分为10的RCE漏洞影响,最早可追溯至第一个版本。 只要运行 Caldera 的服务器上出现Go、Python和gcc,则攻击者可触发多数 Caldera 默认配置中的该
继续阅读