朴实无华的3.5w美金漏洞
朴实无华的3.5w美金漏洞 原创 MY0723 不秃头的安全 2025-02-26 10:03 漏洞太朴实无华了,只能说任何时候都可能存在漏洞,要有发现的眼睛👀以及去动手的积极
继续阅读月度归档: 2025 年 2 月
漏洞赏金多,有些东西千万别碰
漏洞赏金多,有些东西千万别碰 蚁景网络安全 2025-02-26 09:30
继续阅读【漏洞通告】深信服EasyConnect 客户端存在本地提权漏洞
【漏洞通告】深信服EasyConnect 客户端存在本地提权漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 深信服EasyConnect是由深信服科技(Sangfor Technologies)开发的一款SSL VPN客户端软件,用于实现企业用户远程安全接入内网资源。其核心功能包括身份认证、数据传输加密及访问权限管理。 获取PC普通权限前提下,在本
继续阅读【漏洞通告】PostgreSQL SQL注入漏洞
【漏洞通告】PostgreSQL SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 PostgreSQL是一个开源、强大的关系型数据库管理系统,支持SQL标准及扩展,广泛应用于企业级应用。它具备高可靠性、可扩展性、数据完整性和并发控制功能,支持多种编程语言和扩展机制。 PostgreSQL的libpq函数(如PQescapeLiteral()、
继续阅读【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞
【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Google Chrome V8是一个高效的开源JavaScript引擎,用于Chrome浏览器和Node.js等平台。V8将JavaScript代码编译为机器码,以提高执行效率,优化浏览器性能。它支持即时编译(JIT)和垃圾回收机制,通过内存管理和优化算
继续阅读【漏洞通告】Exim存在SQL注入漏洞
【漏洞通告】Exim存在SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,主要用于在Unix和类Unix系统中发送、接收和转发电子邮件。该产品主要使用客户行业分布广泛。 攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞,从而可能导
继续阅读中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式
中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式 CNNVD安全动态 2025-02-26 07:36 文 | 中国信息安全测评中心主任 彭涛 当今世界正经历百年未有之大变局,网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源,正成为各国经略网络空间、升级网络防御的战略焦点,打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏
继续阅读大量岗位招聘!护网、等保-密评内推、实习、渗透测试工程师
大量岗位招聘!护网、等保-密评内推、实习、渗透测试工程师 原创 棉花糖糖糖 棉花糖fans 2025-02-26 06:04 Job Offers 招聘信息 棉花糖可代发招聘信息,完全免费,但有以下几点要求: 1、拒绝中介,需要您出示您所在招聘公司就职的证明; 2、招聘信息以boss直聘格式为标准,参考本篇文章招聘信息; 3、您需严格遵守法律,劳动合同等一系列法律层面的文件您必须齐全,同时在此声明
继续阅读公开课预告 | OffSec OSEE(EXP-401)高级 Windows 漏洞利用开发
公开课预告 | OffSec OSEE(EXP-401)高级 Windows 漏洞利用开发 公开课直播 谷安培训 2025-02-26 05:46 EXP-401:高级Windows 漏洞利用开发,基于Windows 平台的现代漏洞利用需要最新的规避方法来绕过Microsoft的防御,是Offsec顶级也最具挑战的课程。 以复杂的实操靶机实验室环境为特色,挑战学员发挥他们最好的渗透测试技能。要求学
继续阅读Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁
Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁 e安在线 e安在线 2025-02-26 03:26 研究人员发现了 Fluent Bit 中的关键 0-day 漏洞,这款日志收集工具广泛应用于 AWS、Google Cloud 和 Microsoft Azure 等主要云服务提供商的云基础设施中。这两个漏洞被追踪为 CVE-2024-50608 和 CVE-2024-506
继续阅读紧急!7-Zip惊现高危漏洞[CVE-2025-0411],解压文件=打开潘多拉魔盒?
紧急!7-Zip惊现高危漏洞[CVE-2025-0411],解压文件=打开潘多拉魔盒? 原创 云梦DC 云梦安全 2025-02-26 01:07 全球超2亿用户使用的压缩神器7-Zip,近日曝出MotW标记绕过漏洞(CVSS 7.0)。攻击者可构造特殊压缩包: ✅ 绕过Windows安全标记(Zone.Identifier) ✅ 躲避杀毒软件检测 ✅ 解压后直接运行恶意程序 你的电脑是否在死亡名
继续阅读紧急预警!CVE-2025-21298高危漏洞曝光,双击文件秒变“肉鸡”!
紧急预警!CVE-2025-21298高危漏洞曝光,双击文件秒变“肉鸡”! 云梦DC 云梦安全 2025-02-26 01:07 【真实威胁:一份文件就能攻破你的电脑!】 “某企业员工打开客户发来的RTF文档后,5分钟内核心服务器被植入勒索病毒!” ——这不是科幻情节,而是利用CVE-2025-21298漏洞的真实攻击场景! 微软最新曝光的OLE组件远程代码执行漏洞(CVSS 9.8),已被黑客大
继续阅读漏洞攻击?拦了!数据呢?丢了!
漏洞攻击?拦了!数据呢?丢了! ThreatBook 微步在线 2025-02-26 00:30 最近老王遇到了一件怪事: 明明旁路部署的IPS阻断了一次Nday,但还是泄露了数据。 事情是这样的,近期有人频繁在非工作时间登录Zabbix,疑似账户失窃。在确认非本人操作后,老王排查到了一次被IPS拦截的Grafana漏洞攻击, 随后便出现了异常登录 。该漏洞可导致Grafana与Zabbix集成时
继续阅读AI安全防线崩塌?H-CoT攻击揭示大型推理模型严重漏洞
AI安全防线崩塌?H-CoT攻击揭示大型推理模型严重漏洞 原创 网空闲话 网空闲话plus 2025-02-25 22:56 随着人工智能技术的飞速发展,大型推理模型(LRMs)在复杂任务中的应用日益广泛,但其安全性和可靠性问题也日益凸显。杜克大学、埃森哲和台湾国立清华大学的研究团队通过构建“恶意教育者”数据集,揭示了当前LRMs在安全推理机制上的严重漏洞,并提出了一种名为“劫持思维链”(H-Co
继续阅读通过ROP实现RCE的一次技术探索之旅
通过ROP实现RCE的一次技术探索之旅 山石网科 山石网科安全技术研究院 2025-02-25 17:21 **ROP实现RCE:这不是魔法,这是技术的魅力!**** 在网络安全领域,远程代码执行(RCE)一直是攻击者和防御者关注的焦点。 今天,为大家带来一篇深度文章[1],它将引领我们深入探讨如何通过ROP(Return-Oriented Programming)实现RCE。 一、前言 在红队演
继续阅读XWiki SolrSearchMacros 远程代码执行漏洞PoC(CVE-2025-24893)
XWiki SolrSearchMacros 远程代码执行漏洞PoC(CVE-2025-24893) iSee857 Web安全工具库 2025-02-25 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
继续阅读Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测
Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-25 16:01 0x01 工具介绍 SQLMC(SQL注入大规模检查器)一款自动化扫描工具。📌 高效批量检测:面对甲方提供的数百个站点,SQLMC支持通过脚本集成批量扫描,告别手动逐个测试的低效模式,一键启动全自动漏洞排查,效率提升90%!注意:现在只对常读和星标的公众号才展示大
继续阅读百万赏金漏洞猎人带挖,零基础解锁美刀收入!(3月3日开课)
百万赏金漏洞猎人带挖,零基础解锁美刀收入!(3月3日开课) 来给你一口甜 扶楹安全 2025-02-25 16:00 点击上方蓝字关注我们 🔐【3月3日开课】0基础网络安全班限招20人!最后17席速抢! ⏰ 开课时间 :2023年3月3日 🎯 招生计划 :仅限20人(已报名3人,剩余席位告急!) 🌟 课程特色 :行业专家全程指导 + 企业级实战案例 + 就业指导 🔥 为什么选择我们? ✅ 零门槛入
继续阅读被动流量漏洞扫描器 – fizz-poc
被动流量漏洞扫描器 – fizz-poc GSDK安全团队 2025-02-25 14:00 01 项目地址 https://github.com/fizzgate/fizz-poc 02 项目介绍 项目描述 fizz-poc是一个被动流量漏洞扫描器,支持XRAY(XPOC)的POC文件,能自动识别.pcap文件的流量漏洞,并生成报告。 使用方法 Usage: fizz-poc [-h
继续阅读SRC中的重置密码漏洞及案例
SRC中的重置密码漏洞及案例 Z2O安全攻防 2025-02-25 13:12 免责声明: 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者及本公众号不为此承担任何责任。 02 文章正文 1.密码重置链接不过期 当用户请求更改密码时,他们会收到一个密码重置链接来重置密码,这是正常行为。但密码重置链接也应在一段时间后
继续阅读【漏洞预警】Lumsoft ERP 8无限制文件上传漏洞 (CVE-2025-1646)
【漏洞预警】Lumsoft ERP 8无限制文件上传漏洞 (CVE-2025-1646) cexlife 飓风网络安全 2025-02-25 12:34 漏洞描述: 在Lumѕоft ERP 8中发现了一个被分类为严重的漏洞,这个问题影响了组件ASPX文件处理器中文件/Aрi/TinуMсе/UрlоаdAјахAPI.аѕhх的一些未知功能,操纵参数filе导致无限制的上传,攻击者可能远程发起该
继续阅读MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE
MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE Ionut Arghire 代码卫士 2025-02-25 10:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全平台 OPSWAT报道称,MongoDB的库 Mongoose Object Data Modeling (ODM) 中存在两个严重漏洞,可导致攻击者在 Node.js 应用服务器尚实现远程代
继续阅读CISA:Craft CMS代码注入漏洞已遭利用
CISA:Craft CMS代码注入漏洞已遭利用 Bill Toulas 代码卫士 2025-02-25 10:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施网络安全局 (CISA) 提醒称,Craft CMS 中的一个远程代码执行漏洞 (CVE-2025-23209) 已遭利用。 CVE-2025-23209的CVSS评分8.0,是代码注入(RCE)漏洞,影响
继续阅读数据驱动的终端漏洞治理
数据驱动的终端漏洞治理 原创 tonghuaroot RedTeam 2025-02-25 10:50 Canva 通过整合多供应商工具、定义动态 SLA 框架及自动化更新流程,结合数据驱动的风险阈值管理与人工干预协同,实现规模化终端漏洞的高效修复,在保障安全性的同时最小化用户体验干扰。 前言 Canva 的使命是成为全球最受信任的平台。为了获得并保持客户的信任,我们实施了多种机制和系统,尽量减少
继续阅读特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览
特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览 安全牛 2025-02-25 10:02 点击蓝字·关注我们 / aqniu 新闻速览 •特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼 •澳大利亚政府出于安全顾虑,禁用卡巴斯基软件 •CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 •由1
继续阅读今日更新:虚拟机镜像磁盘解密 | 系统0day安全(第7期)
今日更新:虚拟机镜像磁盘解密 | 系统0day安全(第7期) 看雪课程 看雪学苑 2025-02-25 09:57 录播更新: 4.6 虚拟机镜像磁盘解密(1) https://www.kanxue.com/book-140-5066.htm 4.7 虚拟机镜像磁盘解密(2) https://www.kanxue.com/book-140-5067.htm 本周直播开启: 近些年来不论是HVV行动
继续阅读如何使用AI进行漏洞挖掘(最终版本)
如何使用AI进行漏洞挖掘(最终版本) _7ingLian 偏远酒馆 2025-02-25 08:42 往期文章: 如何用AI进行漏洞挖掘(一) 如何用AI进行漏洞挖掘(二) 如何用AI进行漏洞挖掘(三) —>目录<— 0x01——前言 0x02——最终版本,接入deepseek api实时数据包分析 0x01、前言 —> 我在想,AI存在的意义
继续阅读雷神众测漏洞周报2024.2.17-2024.2.23
雷神众测漏洞周报2024.2.17-2024.2.23 原创 雷神众测 雷神众测 2025-02-25 08:28 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读CVE-2024-56145 Craft CMS 变量覆盖导致 Twig SSTI 漏洞
CVE-2024-56145 Craft CMS 变量覆盖导致 Twig SSTI 漏洞 原创 KCyber 自在安全 2025-02-25 01:21 漏洞信息 Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字化网络体验等。CVE-2024-56145 中,若开启了 register_argc_argv ,那么攻击者可构造恶意请求利用模版注入漏洞实现 RCE 。影响版
继续阅读碰撞 .NET machineKey 实现远程代码执行漏洞
碰撞 .NET machineKey 实现远程代码执行漏洞 专攻.NET安全的 dotNet安全矩阵 2025-02-25 00:20 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错
继续阅读