JAVA代审-publiccms_V4_2024_6
JAVA代审-publiccms_V4_2024_6 原创 C@ig0 菜狗安全 2025-02-19 02:13 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 本篇文章首发在先知社区,作者C@i
继续阅读月度归档: 2025 年 2 月
【红队】geoserver图形化漏洞利用工具
【红队】geoserver图形化漏洞利用工具 netuser 贝雷帽SEC 2025-02-19 01:52 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 CVE-2024-36401漏洞图形化利用工具,功能包含
继续阅读永洪BI远程代码执行漏洞
永洪BI远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-02-19 00:59 漏洞概况 永洪BI是一款由北京永洪商智科技有限公司开发的企业级商业智能软件。旨在帮助企业通过数据分析和可视化,提升决策效率和数据驱动的业务洞察能力。永洪BI提供了从数据准备、数据分析到数据可视化的一站式解决方案,适用于多种行业和应用场景。 微步情报局通过X漏洞奖励计划获取到永洪BI远程代码执行漏洞情
继续阅读想本地化部署DeepSeek?这些漏洞要注意!
想本地化部署DeepSeek?这些漏洞要注意! 重生之成为赛博女保安 2025-02-19 00:14 2025年伊始,AI领域迎来一个重要变革 – DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署,从而将AI能力引入企业内网
继续阅读PowerShell 漏洞 — 现代 APT 及其恶意脚本策略
PowerShell 漏洞 — 现代 APT 及其恶意脚本策略 hai dragon 安全狗的自我修养 2025-02-18 23:19 介绍图片 (我非常不擅长编辑图片 ^_^ ) 你好在本博客中,我们将从 PowerShell 简介开始,解释为什么它是 Red Teamer 最喜欢的工具。从那里,我们将探索它的内存加载功能并详细研究 AMSI(反恶意软件扫描接口),包括它如何深入运行。然后,我
继续阅读黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业
黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业 原创 网空闲话 网空闲话plus 2025-02-18 22:46 2月19日监测发现,暗网论坛上出现大量VPN访问权限售卖帖子,发帖者“miyak0”在短时间内发布了24条涉及多个国家和地区的VPN权限出售信息,涵盖西班牙、沙特、阿联酋、中国及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。这些权限的价格从
继续阅读漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞
漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞 2025-2-18更新 南风漏洞复现文库 2025-02-18 22:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读快排CMS-后台XSS漏洞
快排CMS-后台XSS漏洞 原创 骇客安全 骇客安全 2025-02-18 18:00 漏洞描述 快排CMS 后台存在XSS漏洞,通过后台构造特殊语句可以造成访问网站的用户被XSS影响 漏洞影响 快排 CMS <= 1.2 环境搭建 https://gitee.com/qingzhanwang/kpcms 漏洞复现 漏洞出现在登录后台的网站编辑的位置,由于没有对输出的字符进行过滤,导致XSS
继续阅读安全设计警报:消除缓冲区溢出漏洞
安全设计警报:消除缓冲区溢出漏洞 祺印说信安 2025-02-18 16:01 恶意网络攻击者利用缓冲区溢出漏洞破坏软件 注意:此安全设计警报是正在进行的系列警报的一部分,旨在推进全行业的最佳实践,以消除产品生命周期设计和开发阶段的所有漏洞类别。安全设计计划旨在促进整个技术行业的文化转变,规范开发开箱即用的安全产品。访问cisa.gov了解有关安全设计原则的更多信息,签署安全设计承诺,并随时了解最
继续阅读APP渗透测试 — 支付逻辑漏洞
APP渗透测试 — 支付逻辑漏洞 Web安全工具库 2025-02-18 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: 扫描二维码 免费下载观看 链接:https://pan.quark.cn/s/aeb06a7dd9cc 00:03 – 支付逻辑漏洞的检测与利用风险 本次讨论聚焦于支付逻辑漏洞的危害及测试方法。支付逻辑漏洞在业务场景中可能导致企业财务损
继续阅读备案查询、空间测绘、漏洞测试、编码及加解密工具 — MoonLight
备案查询、空间测绘、漏洞测试、编码及加解密工具 — MoonLight MKID1412 网络安全者 2025-02-18 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自
继续阅读APP渗透测试 — 文件上传漏洞
APP渗透测试 — 文件上传漏洞 网络安全者 2025-02-18 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/67633ca6f26e 00:00 – 文件上传漏洞的防范措施 讨论了文件上传功能在许多APP和网站中的常见应用,以及如果对上传内容过滤不严可能导致的安全问题。从开发的角度,文件上传漏洞的
继续阅读【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞
【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞 cexlife 飓风网络安全 2025-02-18 13:05 漏洞描述: 在ChurсhCRM5.13.0及之前的版本中存在一个漏洞,允许攻击者通过利用EditEvеntTуреѕ功能中基于时间的盲SQL注入漏洞来执行任意SQL查询,nеԝCоuntNаmе参数未经适
继续阅读无休止的漏洞:macOS 漏洞被利用九次
无休止的漏洞:macOS 漏洞被利用九次 Ots安全 2025-02-18 12:12 这是我在OBTS v7.0会议上的演讲的博客文章。幻灯片已上传到这里。 苹果必须发布多少个补丁才能真正修复漏洞?答案是“随风飘荡”。🙈 我在 macOS 的PackageKit框架中发现了一个有趣的逻辑漏洞,该漏洞允许将权限提升到root,绕过透明度同意和控制(TCC),以及绕过系统完整性保护(SIP)。 很难
继续阅读【漏洞预警】Cisco Meeting Management客户端-服务器权限提升漏洞
【漏洞预警】Cisco Meeting Management客户端-服务器权限提升漏洞 原创 MasterC 企业安全实践 2025-02-18 12:07 一、漏洞描述 Cisco Meeting Management的REST API中存在一个漏洞,可允许经过身份验证且具有低权限的远程攻击者在受影响的设备上将权限提升为管理员。存在此漏洞的原因是未对 REST API用户实施适当的授权。攻击者可
继续阅读常见WEB漏洞—SQL 注入
常见WEB漏洞—SQL 注入 网安探索员 网安探索员 2025-02-18 12:02 SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,黑客通过在输入字段中插入恶意 SQL 代码,操纵数据库查询,从而窃取、篡改或删除数据,甚至控制整个数据库系统。以下是 SQL 注入漏洞的总结: 1. 原理 漏洞根源 :应用程序未对用户输入进行严格的验证和过滤,直接将输入拼接到 S
继续阅读ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据
ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据 AI小蜜蜂 FreeBuf 2025-02-18 11:10 OpenAI 为 ChatGPT Pro 用户打造的前沿研究预览工具 ChatGPT Operator,近来因一个严重漏洞引发关注。该漏洞可通过提示注入攻击,致使敏感个人数据面临泄露风险。 ChatGPT Operator 是一款功能强大的先进 AI 代理,具备网页浏览
继续阅读【安全圈】俄罗斯黑客利用 7-Zip 零日漏洞攻击乌克兰
【安全圈】俄罗斯黑客利用 7-Zip 零日漏洞攻击乌克兰 安全圈 2025-02-18 11:01 关键词 网络攻击 据趋势科技报道,俄罗斯威胁组织利用 7-Zip 归档工具中的零日漏洞对乌克兰政府实体开展了网络间谍活动。 该漏洞编号为 CVE-2025-0411(CVSS 评分为 7.0),于 2024 年 9 月被发现,并于两个月后在 7-Zip 版本 24.09 中得到修补。 该漏洞被描述为
继续阅读美国政府:开发人员应停止制造“不可原谅的”缓冲溢出漏洞
美国政府:开发人员应停止制造“不可原谅的”缓冲溢出漏洞 Jessica Lyons 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国政府将缓冲溢出漏洞称为“不可原谅的缺陷”,提到微软、VMware 等公司产品中存在此类漏洞,督促所有软件开发人员采用设计即安全实践,避免制造更多缓冲溢出漏洞。 当软件异常将多余所分配的数据写入内存存储时,就会发生缓
继续阅读VeraCore 两个0day漏洞被用于实施供应链攻击
VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读埃隆·马斯克的政府网站漏洞曝光,黑客留下嘲讽信息
埃隆·马斯克的政府网站漏洞曝光,黑客留下嘲讽信息 原创 HackerNews 安全威胁纵横 2025-02-18 09:34 埃隆・马斯克的政府效率部(DOGE)网站被曝出重大安全漏洞, 网站使用不安全的外部数据库, 导致任何未经授权的用户都可以直接修改内容。 埃隆·马斯克 的 政府效率部(DOGE) 推出的一个网站被发现存在重大安全漏洞,允许未经授权的用户 直接修改其内容 。 这一漏洞由两名网络
继续阅读网络安全动态 – 2025.02.18
网络安全动态 – 2025.02.18 Sugar Delta Insights 2025-02-18 09:30 网络安全动态 — Cyber Daily 2025.02.18 警惕:仿冒 DeepSeek 官方 App 的手机木马病毒被捕获 关键词:仿冒App AI 木马病毒 2025年02月17日报道。国家计算机病毒应急处理中心捕获了一种仿冒国产人工智能大模型“Dee
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读雷神众测漏洞周报2024.2.10-2024.2.16
雷神众测漏洞周报2024.2.10-2024.2.16 原创 雷神众测 雷神众测 2025-02-18 09:15 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读安全简讯(2025.02.18)
安全简讯(2025.02.18) 启明星辰安全简讯 2025-02-18 08:48 1. 马斯克DOGE计划陷网络安全危机,政府效率部网站遭黑客曝光漏洞 2月14日,科技亿万富翁埃隆·马斯克管理的政府效率部(DOGE)旨在削减联邦开支并提升政府效率,然而,其新创建的DOGE.gov网站却因网络安全措施松懈而面临重大风险。黑客指出,该网站存在严重安全漏洞,任何人都能访问并编辑存储的信息。网站似乎匆
继续阅读CVSS评分9.8!亚信安全率先发现大模型关联Ray架构高危漏洞
CVSS评分9.8!亚信安全率先发现大模型关联Ray架构高危漏洞 亚信安全 亚信安全 2025-02-18 08:18 近日,亚信安全人工智能实验室率先发现,广泛应用的大模型分布式部署的架构Ray,存在未授权命令执行漏洞,并第一时间上报国家信息安全漏洞共享平台(CNVD-2024-47463),及通用漏洞披露平台(CVE-2024-57000)。CVE官方对该漏洞进行了通用漏洞评分系统(CVSS)
继续阅读快排CMS-Socket.php-日志信息泄露漏洞
快排CMS-Socket.php-日志信息泄露漏洞 原创 骇客安全 骇客安全 2025-02-18 07:43 runtime/log/202104/06.log 其中可以看到泄露了管理员的Cookie信息和其他敏感信息 并且文件命名为 年+月/日期.log 这里关注后台的日志文件中的 admin.php页面的cookie就可以获得管理员权限
继续阅读【漏洞与预防】远程代码执行漏洞预防
【漏洞与预防】远程代码执行漏洞预防 原创 solarsec solar应急响应团队 2025-02-18 07:00 1.典型案例 本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法,具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案 2.场景还原 2.1场景设置 攻击者利用CVE-2024-4577远程代码执
继续阅读不要只卷Web安全,硬件安全值得推荐
不要只卷Web安全,硬件安全值得推荐 WIN哥学安全 2025-02-18 06:53 关注我们丨文末赠书 近年来,国家出台了一系列政策、安全标准和规范来支持网络安全产业发展,强调加强网络安全体系保障与能力建设, 要求企业加强硬件设备的安全防护措施,确保设备的安全性和可靠性。同时,数字化转型持续加速,国产化信息技术创新软硬件产品逐渐普及,各行业企业不断扩大硬件安全领域投入。2024年中国网络安全硬
继续阅读