国外顶级漏洞实战工具推荐(附下载)
国外顶级漏洞实战工具推荐(附下载) 蚁景网安 2025-04-25 08:31 漏洞实战通常包括漏洞扫描、漏洞评估、漏洞修复和漏洞验证等环节,以及使用各种工具、平台和策略来实现这些环节的自动化、优化和协调。漏洞工具在漏洞实战过程中发挥着重要的作用,它们可以帮助组织快速地检测、分析和修复各种类型的漏洞,以及提供可视化的报告和反馈。本文将推荐一批顶级开源漏洞管理工具,希望能帮助学习者了解和选择合适的工
继续阅读月度归档: 2025 年 4 月
高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线
高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线 安全客 2025-04-25 08:21 近期,微软宣布将Dynamics 365和Power Platform服务和产品中发现的AI漏洞的奖金最高增加到30000美元。其中,Power Platform包括旨在帮助公司分析数据和自动化流程的应用程序,而Dynamics 365是一组连接客户、产品、人员和运营的业务应用程序。 该
继续阅读漏洞预警 | 金和OA文件任意文件上传漏洞
漏洞预警 | 金和OA文件任意文件上传漏洞 原创 C4团队运营 C4安全团队 2025-04-25 08:11 0x00 漏洞编号 – # CNVD-2024-22977 0x01 危险等级 – 高危 0x02 漏洞概述 金和OA系统 产品C6协同管理平台,是一个涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围的
继续阅读记一次接口导致的漏洞
记一次接口导致的漏洞 原创 Fengge233 Tsia安全团队 2025-04-25 08:07 1、经典开局一个登录框swagger泄露,提取跑接口 某接口信息泄露 2、未授权 开局一个登录口 提取接口跑一波出货了
继续阅读二维码功能点SRC漏洞挖掘
二维码功能点SRC漏洞挖掘 GG安全 2025-04-25 08:04 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! 在漏洞挖掘过程中我们经常会遇到二维码,二维码出现的场景主要有支付状态下、扫描登录、扫码关注、扫码分享、
继续阅读揭秘千万漏洞赏金密码!跟着漏洞挖掘大神解锁 SRC 变现新赛道
揭秘千万漏洞赏金密码!跟着漏洞挖掘大神解锁 SRC 变现新赛道 Z2O安全攻防 2025-04-25 08:03 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦 ,小编给大家要了个福利,即报“ Z2O安全攻防 ”暗号可享早鸟价格哦~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色 键盘 阿里巴巴核心白帽
继续阅读独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享
独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享 赤弋安全团队 2025-04-25 08:02 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦 ,小编给大家要了个福利,文末添加报“ 赤弋安全 ”暗号可享早鸟价格哦~ 一次报名,终身学习~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色 键盘
继续阅读【漏洞预警】泛微 E-cology 远程代码执行漏洞
【漏洞预警】泛微 E-cology 远程代码执行漏洞 原创 大荒Sec 太乙Sec实验室 2025-04-25 07:12 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何
继续阅读【工具分享】JavaSecLab综合且全面的Java漏洞平台
【工具分享】JavaSecLab综合且全面的Java漏洞平台 秀龙叔 黑客之道HackerWay 2025-04-25 07:00 简介: JavaSecLab是一款最全面的Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析,涵盖多种漏洞场景,人性化的交互UI…… 支持漏洞模块: 跨站脚本攻击、跨站请求伪造、CORS、JS
继续阅读时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞
时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞 Superhero Nday Poc 2025-04-25 06:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 时
继续阅读上周关注度较高的产品安全漏洞(20250414-20250420)
上周关注度较高的产品安全漏洞(20250414-20250420) 金瀚信安 2025-04-25 06:36 一、境外厂商产品漏洞 1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该
继续阅读【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028)
【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-25 06:33 漏洞名称: Commvault 远程代码执行漏洞(CVE-2025-34028) 组件名称: Commvault-WebServer 影响范围: 11.38.0 ≤ Commvault < 11.38.20 漏洞类型: 绕过认证 利用条
继续阅读【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告
【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞。 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国
继续阅读【漏洞通告】Redis输出缓冲区无限增长漏洞安全风险通告
【漏洞通告】Redis输出缓冲区无限增长漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 Redis输出缓冲区无限增长漏洞,漏洞编号为: CVE-2025-21605 。 Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有
继续阅读【漏洞通告】PyTorch远程命令执行漏洞安全风险通告
【漏洞通告】PyTorch远程命令执行漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 PyTorch远程命令执行漏洞,漏洞编号为: CVE-2025-32434 。 PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能研究。它提供强大的张量计算功能,支持GPU加速,并且基于自动求导系统(autograd),使得模型训练更加高效。PyTo
继续阅读同步漏洞行动:“ Lazarus 高级持续性威胁组织”再次故技重施
同步漏洞行动:“ Lazarus 高级持续性威胁组织”再次故技重施 原创 Kaspersky 卡巴斯基威胁情报 2025-04-25 06:00 自去年 11 月以来,我们一直在跟踪 Lazarus 组织的最新攻击活动,因为它以韩国的组织为目标,将水坑策略与韩国软件中的漏洞利用巧妙结合。这项被称为“SyncHole 行动”的活动已经影响了韩国软件、IT、金融、半导体制造和电信行业的至少六个组织,我
继续阅读IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战
IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战 斗象科技 2025-04-25 05:59 在智能设备安全事件频发的今天,欧盟2024年新规规定所有联网设备必须提供5年的免费安全更新,我国《物联网基础安全 物联网平台安全分级分类管理评估方法》(YD/T 6039-2024)在今年2月正式实施,合规与网络安全性已经成为智能产品的重要指标之一。 2024年12月,距某全球500强综合性智
继续阅读【红队】JNDIExploit 改进版
【红队】JNDIExploit 改进版 pap1rman 贝雷帽SEC 2025-04-25 05:24 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 对原版JNDIExploit进行修改增加内存马模块和本地序列
继续阅读常见EDU漏洞,附实战案例
常见EDU漏洞,附实战案例 锐鉴安全 2025-04-25 05:06 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 0x01 前言 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 0x02 漏洞详情 1.教务
继续阅读【在野利用】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324)
【在野利用】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324) sec0nd安全 2025-04-25 04:44 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 SAP NetWeaver是SAP的集成技术平台,是自从SAP Business Suite以来的所有SAP应用的技术基础。SAP NetWeaver是一个面向服务的应
继续阅读某GPS定位系统存在前台SQL注入漏洞
某GPS定位系统存在前台SQL注入漏洞 原创 星悦 星悦安全 2025-04-25 04:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 手机端强制打开GPS,每3分钟(可调)获取一次所在经纬度,如果位置变化距离超过100米(可调), 则提交给后台的PHP。然后后台把得到的数据保存到数据库,再通过前面的百度地图API绘制出轨迹和显示驻留时间。 安卓端安装好后,设置开机自启并打开相应的
继续阅读警惕!APT组织利用ESET软件漏洞悄然植入恶意软件
警惕!APT组织利用ESET软件漏洞悄然植入恶意软件 原创 紫队 紫队安全研究 2025-04-25 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全的战场上,APT(高级持续性威胁
继续阅读Fortinet FortiSwitch 任意密码重置 CVE-2024-48887
Fortinet FortiSwitch 任意密码重置 CVE-2024-48887 Khan安全团队 2025-04-25 03:48 该漏洞源于通过 FortiSwitch Web 界面更改密码时缺乏适当的验证。攻击者可以向set_password终端发送特殊请求,无需登录或任何用户交互即可更改管理员密码。由于该漏洞复杂度较低,因此存在重大风险——几乎可以在任何暴露界面的环境中实施。 受影响的
继续阅读攻防实战绕过disable_function命令执行
攻防实战绕过disable_function命令执行 原创 ashui Rot5pider安全团队 2025-04-25 02:59 蓝 队 蓝队短期HVV攻防演练项目招聘(北京) 工作内容: 负责前期渗透测试及HVV(攻防演练)期间的安全研判、不需要应急。 项目周期: 2个月(含前期渗透准备阶段及HVV实战阶段),五一后启动,具体入场时间面试通过后通知。 工作地点: 北京 薪资待遇: 税前月薪
继续阅读漏洞预警 福建科X讯通信有限公司指挥调度 命令执行 send_fax.php
漏洞预警 福建科X讯通信有限公司指挥调度 命令执行 send_fax.php by 融云安全-cas 融云攻防实验室 2025-04-25 02:23 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读AI自动化代码审计RCE
AI自动化代码审计RCE bcloud 乌雲安全 2025-04-25 02:18 作者:bcloud 原文链接:https://xz.aliyun.com/news/17327 如侵权请联系删除。 前言 AI最近的趋势持续偏高,用AI来写代码,挖漏洞甚至于审计代码的文章或者工具都非常多,最近刚好在学习AI安全,并且php相关的代码审计也比较熟练,趁着学习AI的机会结合代码审计进行学习。 智能体创
继续阅读“脚本小子”-之恶意poc投毒事件
“脚本小子”-之恶意poc投毒事件 实战安全研究 2025-04-25 02:01 前言 最经看见一个国外小哥的文章,觉得写的挺好的,但是可能很少人刷到,所以就有了这篇文章,希望能够把每个点都按照自己的理解讲的明明白白,看过之后同时也提醒大家对于网上的poc以及exp,还有一些工具一定要保持严谨仔细的态度,可能一个不小心你的电脑就中招了,是个人pc还好,如果是公司服务器啥的那造成的影响可就不小。
继续阅读CVE-2025-0282:Ivanti缓冲区溢出漏洞
CVE-2025-0282:Ivanti缓冲区溢出漏洞 l140w4n9 北银京卫军 2025-04-25 01:54 一、漏洞背景 1、概述 CVE-2025-0282 是一个影响 Ivanti 企业 VPN 设备的严重漏洞。该漏洞允许未经身份验证的远程攻击者在受影响的设备上执行任意代码,进而可能完全控制目标系统。Ivanti 已确认该漏洞存在。 2、影响范围 Ivanti Connect Se
继续阅读Sirius!功能强大的通用漏洞扫描器
Sirius!功能强大的通用漏洞扫描器 黑白之道 2025-04-25 01:51 工具介绍 Sirius Scan 是一款企业级 开源通用漏洞扫描器 , 它利用社区驱动的安全情报,结合了漏洞数据库、网络扫描、基于代理的发现和自定义评估器分析。 旨在识别和评估整个基础设施的安全漏洞,具有直观图形界面的企业级安全扫描、 轻松从小型部署扩展到大型基础设施、 全面的漏洞评估和报告。 工具安装 1、系统要
继续阅读Lazarus APT 利用1day漏洞攻击韩国目标
Lazarus APT 利用1day漏洞攻击韩国目标 会杀毒的单反狗 军哥网络安全读报 2025-04-25 01:00 导读 臭名昭著的 Lazarus APT组织最近发起一场网络间谍活动,被追踪为“Operation SyncHole”,自 2024 年 11 月以来,已危害至少六个韩国机构,涉及软件、IT、金融、半导体和电信领域。 根据详细研究,攻击者采用了水坑攻击和利用韩国广泛使用的软件(
继续阅读