DNS 一响,漏洞登场!FastJSON 不出网探测全攻略
DNS 一响,漏洞登场!FastJSON 不出网探测全攻略 原创 火力猫 季升安全 2025-04-23 10:53 🧨 FastJSON “不出网验证” 全解析 从一次普通的 POST 请求,如何判断目标后端用了 FastJSON?还能不能打?是否开启了 AutoType?今天给你掰开揉碎讲清楚:如何在“目标无法访问公网”的条件下判断 FastJSON 是否存在可利用的反序列化漏洞 。 🎯 什么
继续阅读月度归档: 2025 年 4 月
ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 FreeBuf 2025-04-23 10:42 安全研究员Matt Keeley近期演示了人工智能如何在公开概念验证(PoC)攻击代码发布前,就成功生成针对关键漏洞的有效利用程序。这一突破可能彻底改变漏洞研究领域的现状。 Keeley使用GPT-4为CVE-2025-32433开发出功能性攻击程序,该漏洞是Erlang/OTP S
继续阅读《独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享》
《独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享》 信安404 2025-04-23 10:20 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦 ,小编给大家要了个福利,文末添加报“ 信安404 ”暗号可享早鸟价格哦~ 一次报名,终身学习~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色
继续阅读Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构
Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构 Bill Toulas 代码卫士 2025-04-23 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Active! mail 中存在一个远程代码执行 (RCE) 0day 漏洞,现已被用于攻击位于日本的大型组织机构。 Active! mail 最初是由 TransWARE 开发的一款基于 web 的邮件
继续阅读价值$10,000的漏洞
价值$10,000的漏洞 迪哥讲事 2025-04-23 10:09 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4186 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 白帽 TheFlow 通过漏洞平台
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第16期,总第34期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第16期,总第34期] 原创 安钥 方桥安全漏洞防治中心 2025-04-23 10:06 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十二期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十二期 原创 安钥 方桥安全漏洞防治中心 2025-04-23 10:06 2025年4月9日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第14期,总第32期] 活动现已结束。经过初评和复审,本次共有 5 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏
继续阅读【漏洞处置SOP】Apache Tomcat远程代码执行漏洞(CVE-2025-24813)
【漏洞处置SOP】Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 just4fun 方桥安全漏洞防治中心 2025-04-23 10:06 01 SOP基本信息 SOP名称: Apache Tomcat远程代码执行漏洞(CVE-2025-24813)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-03-12 作者:just4fun 审核人: T小
继续阅读高危证书 | 记一次白盒审计快速拿下RCE漏洞的过程
高危证书 | 记一次白盒审计快速拿下RCE漏洞的过程 进击安全 2025-04-23 09:58 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 0x01 前言 上上个星期,有个佬给我发了一份Code,然后正好有空,拿出来看看(如果
继续阅读内存利用:迟来的blindless与逃不掉的exit漏洞
内存利用:迟来的blindless与逃不掉的exit漏洞 N1nEmAn 蚁景网络安全 2025-04-23 09:35 0x01 前言 在计算机安全领域,漏洞的危险性往往与其广泛性和潜在攻击方式密切相关。今天,我们将深入探讨一个异常危险的漏洞,它存在于程序退出时执行的常见函数”exit”中。无论是在操作系统还是应用程序中,”exit”都是一个普遍存
继续阅读绿盟科技披露2024年报,营收增长超40%,亏损收窄;漏洞研究新突破:利用ChatGPT快速创建利用代码 | 牛览
绿盟科技披露2024年报,营收增长超40%,亏损收窄;漏洞研究新突破:利用ChatGPT快速创建利用代码 | 牛览 安全牛 2025-04-23 08:49 新闻速览 •英国Ofcom禁止”全球标题码”租赁,遏制移动网络犯罪 •漏洞研究新突破:利用ChatGPT快速创建利用代码 •从边缘设备入侵:黑客新战术瞄准中小企业网络薄弱环节 •美国德州阿比林市遭遇网络攻击,多个系统被
继续阅读[从漏洞挖掘到隐私保卫战!虎符网络安全专家受邀揭秘AI时代安全新攻防]
[从漏洞挖掘到隐私保卫战!虎符网络安全专家受邀揭秘AI时代安全新攻防] 虎符网络 2025-04-23 08:37 近日,由西湖区工商联联合西湖数据智能产业园举办的第八期“百家企业讲故事”系列活动圆满举行。虎符网络联合创始人顾春辉很荣幸受邀参加此次活动,与园区内外众多企业代表参进行分享、探讨沟通。 虎符网络联合创始人 顾春辉 杭州虎符网络联合创始人、杭州未来科技城总工会“工匠荟”副会长顾春辉在活动
继续阅读Funadmin v5.0.2 存在SQL注入漏洞
Funadmin v5.0.2 存在SQL注入漏洞 王桀 星悦安全 2025-04-23 08:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自楚风安全-王桀师傅 █ FunAdmin 基于thinkphp8.X +Layui2.9.*+requirejs开发权限(RBAC)管理框架,框架中集成了权限管理、模块管理、插件管理、后台支持多主题切换、配置管理、会员管理等
继续阅读2025年渗透测试现状报告:关键漏洞不能全靠“随缘”修复
2025年渗透测试现状报告:关键漏洞不能全靠“随缘”修复 数世咨询 2025-04-23 08:00 近日,Cobalt发布了最新版《2025年渗透测试现状报告》,报告显示: 企业安全负责人对组织安全状况信心十足,然而现实中漏洞修复滞后的问题仍普遍存在,漏洞太多,安全分析师只能“ 随缘 ”修复。 本报告基于对2700余家组织的渗透测试结果和安全管理者问卷分析。数据显示,尽管有81%的受访安全负责人
继续阅读【漏洞预警】泛微E-cology前台远程代码执行漏洞风险通告
【漏洞预警】泛微E-cology前台远程代码执行漏洞风险通告 原创 MasterC 企业安全实践 2025-04-23 07:50 一、漏洞描述 泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,是泛微网络科技有限公司开发的一款业务流程管理(BPM)和协同办公(Collaboration)平台。 近日,互联网上披露了
继续阅读CVE-2025-32433 – Erlang/OTP SSH 中的严重 RCE(CVSS 10)
CVE-2025-32433 – Erlang/OTP SSH 中的严重 RCE(CVSS 10) Khan安全团队 2025-04-23 07:45 身份验证前即可利用,在 Erlang 内置的 SSH 服务器中找到用于后端服务、物联网、电信设备。 https://github.com/ProDefense/CVE-2025-32433
继续阅读【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板
【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板 原创 52 易云安全应急响应中心 2025-04-23 07:35 点击上方蓝字 关注我们 漏洞预警 1、漏洞描述 近日,易云科技监测到一则H3C GR-3000AX远程代码执行漏洞。 H3C GR-3000AX 是新华三(H3C)推出的一款高性能企业级 Wi-Fi 6 无线路由器。产品 支持多场景组网, 支持 Wi-Fi
继续阅读K8s下的漏洞挖掘思路
K8s下的漏洞挖掘思路 原创 Sumor 网络安全学习笔记 2025-04-23 07:26 0x01 概念 容器 :容器是一种虚拟技术,与传统的虚拟机(如VMware)相比,容器更加轻量化,不需要虚拟整出个操作系统,仅需要虚拟一个小规模的环境就可以运行,容器以独立进程的方式运行在宿主机上,相互之间共享系统内核。Docker是使用最为广泛的容器技术,只需要将应用程序以及相关依赖关系进行打包,就可以
继续阅读无需交互即可攻破?CVE-2025-24054正被利用绕过Windows身份验证”
无需交互即可攻破?CVE-2025-24054正被利用绕过Windows身份验证” 原创 骨哥说事 骨哥说事 2025-04-23 06:48 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/419
继续阅读CVE-2024-56145:Craft CMS RCE
CVE-2024-56145:Craft CMS RCE TtTeam 2025-04-23 06:34 该问题是由于对用户提供的模板路径处理不当而引起的,允许攻击者通过特制的有效载荷实现远程代码执行 (RCE) 。 https://github.com/Chocapikk/CVE-2024-56145
继续阅读华硕路由器 AiCloud 发现严重漏洞,官方紧急发布多系列固件补丁
华硕路由器 AiCloud 发现严重漏洞,官方紧急发布多系列固件补丁 胡金鱼 嘶吼专业版 2025-04-23 06:00 华硕称,启用AiCloud的路由器存在身份验证绕过漏洞,可能允许远程攻击者在设备上未经授权执行功能。 该漏洞在CVE-2025-2492下被跟踪,并被评为关键(CVSS v4得分:9.2),可以通过特制的请求远程利用,不需要身份验证,这使得它特别危险。 “在某些华硕路由器固件
继续阅读提示词宝库!NucleiPrompts 助你轻松玩转 Nuclei AI智能漏洞扫描
提示词宝库!NucleiPrompts 助你轻松玩转 Nuclei AI智能漏洞扫描 原创 AI安全工坊 AI安全工坊 2025-04-23 05:16 引言:Nuclei AI智能化扫描! Nuclei 是一款超好用的漏洞扫描工具,而 NucleiPrompts.com 则像它的“金牌助手”,通过分享现成的提示词(Prompts),让扫描漏洞变得像点外卖一样简单! 想知道怎么用一句话找到网站隐患
继续阅读朝鲜黑客组织Kimsuky利用BlueKeep漏洞入侵日韩关键系统,网络间谍活动再升级
朝鲜黑客组织Kimsuky利用BlueKeep漏洞入侵日韩关键系统,网络间谍活动再升级 原创 道玄安全 道玄网安驿站 2025-04-23 04:00 “ 网络战。” 01 — 高危漏洞成APT攻击跳板,企业如何筑牢防线? 2025年4月21日,韩国安博士实验室(ASEC)发布报告称,朝鲜背景的APT组织Kimsuky(代号Larva-24005)利用微软远程桌面服务(RDS)的高危漏洞Blue
继续阅读WordPress插件认证绕过与权限提升漏洞实例分析
WordPress插件认证绕过与权限提升漏洞实例分析 原创 cynault 奇安信天工实验室 2025-04-23 03:30 目 录 一、前 言 二、权限绕过漏洞 三、权限提升漏洞 四、 总 结 一 前 言 管理员权限用户能够执行更多敏感操作,也更容易导致RCE(远程代码执行)。在 WordPress 中,管理员拥有安装任意插件的权限,因此用户如果拥有管理员权限,几乎等同于获得RCE。 下
继续阅读讯飞SRC | 重生礼包已到账→ 端午漏洞退散作战启动!
讯飞SRC | 重生礼包已到账→ 端午漏洞退散作战启动! 讯飞安全 2025-04-23 02:06 文末转发有礼 关注【讯飞安全】微信公众号并转发本篇文章至朋友圈即可参与抽奖 请中奖的小伙伴将 关注截图+转发截图+中奖截图 发到【讯飞安全】公众号 进行兑奖 (4月28日15点开奖,兑奖截止4月29日15点,过期视为放弃兑奖) 点击阅读原文可跳转至讯飞SRC平台
继续阅读AscensionPath一个基于Docker容器化技术的漏洞环境管理系统
AscensionPath一个基于Docker容器化技术的漏洞环境管理系统 黑白之道 2025-04-23 02:03 工具介绍 AscensionPath 一个基于Docker容器化技术的漏洞环境管理系统全栈漏洞环境管理系统,提供漏洞环境全生命周期管理,基于Docker容器技术实现安全隔离的实验环境。 功能特性 环境管理 ✅ 镜像批量上传 ✅ 容器编排 ✅ 端口映射 ✅ 自动回收 权限控制
继续阅读雷神众测漏洞周报2025.4.14-2025.4.20
雷神众测漏洞周报2025.4.14-2025.4.20 雷神众测 雷神众测 2025-04-23 01:50 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读【漏洞实战研磨】实战 我是如何突破层层限制利用ssrf的
【漏洞实战研磨】实战 我是如何突破层层限制利用ssrf的 原创 blue澜 小惜渗透 2025-04-23 01:30 我是如何突破层层限制利用ssrf 1.1 关于ssrf的基础理解 ssrf漏洞也就是服务器端请求伪造 ,简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给其它机器。 对于ssrf的利用相信很多小伙伴还知道利用一些协议例如:file 、dict 、ftp 、gopher
继续阅读某通信设备有限公司(漏洞复现)
某通信设备有限公司(漏洞复现) 原创 Advanced Threat 破晓信安 2025-04-23 01:13 免责声明 本文仅用于学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习使用!!! 漏洞页面 网络绘测 title
继续阅读针对Nacos漏洞猎杀的各种骚姿势
针对Nacos漏洞猎杀的各种骚姿势 原创 神农Sec 神农Sec 2025-04-23 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 0x1 相关漏洞资产收集 像比如师傅们不知道怎么找naco
继续阅读