【一周安全资讯0524】《2025年深入推进IPv6规模部署和应用工作要点》印发;英特尔CPU曝重大安全漏洞,可导致内存泄露 聚铭网络 2025-05-24 03:00 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 2 公安部网安局部署依托网络安全服务认证体系加强等级测评监管工作 3 英特尔CP
继续阅读漏洞还是功能:MCP安全与逆向工程实践的权衡 原创 裴伟伟 洞源实验室 2025-05-24 01:30 在上一篇文章《模型上下文协议(MCP)的原理与安全挑战》 ,笔者有介绍 MCP 的基本概念和安全风险,有留言问其中的示例代码看着像 Function Call 而不是 MCP 。因为是示例代码的关系,整个代码中的关键部分看起来和 Function Call 没有差别,但其实 MCP 的关键在于
继续阅读漏洞预警|Clash Verge 远程命令执行漏洞 威胁情报运营中心 矢安科技 2025-05-24 01:06
继续阅读因不满漏洞分级,发现者公布WinServer2025 0day细节 会杀毒的单反狗 军哥网络安全读报 2025-05-24 01:00 导读 Akamai 安全团队和微软对未修补的“BadSuccessor”漏洞的严重性存在分歧,在微软拒绝立即发布补丁后,Akamai 公布了 Windows Server 2025 中存在的权限提升漏洞细节。 “BadSuccessor”是 Windows Ser
继续阅读ViciousTrap 威胁组织利用思科漏洞用 5,300 台受感染设备构建全球蜜罐 会杀毒的单反狗 军哥网络安全读报 2025-05-24 01:00 导读 网络安全研究人员称,代号为 ViciousTrap 的威胁组织入侵了 84 个国家近 5,300 个独特的网络边缘设备,并将它们变成了类似蜜罐的网络。 据观察,威胁组织利用影响思科小型企业 RV016、RV042、RV042G、RV082、
继续阅读Grafana CVE-2025-4123:SSRF 和账户接管漏洞完整解读 haidragon 安全狗的自我修养 2025-05-24 00:05 https://nightbloodz.github.io/grafana-CVE-2025-4123/ 概括 当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不进行验证时,就会发生开放重定向。 /redirect?url=h
继续阅读通过细节挖掘漏洞的艺术 菜狗 富贵安全 2025-05-24 00:03 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包 选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/createOrder 创建
继续阅读全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现 菜狗 富贵安全 2025-05-24 00:03 漏洞概况 Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。 该漏洞利用条件较为复杂,需同时满足以下四个条件: 1. 应用程序启用
继续阅读【Web实战】一次空白页面的“妙手回春”嘎嘎出严重漏洞 原创 菜狗 富贵安全 2025-05-24 00:03 前言 某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干! 过程 https://x,x.com/ 打开页面啥也没有,一片空白: 其中这里按下键盘中的F12,通过审计j
继续阅读全网震颤!黑客利用文件上传漏洞化身“虚空主宰”,百万服务器集体沦陷! 勤奋的运营姐姐 EnhancerSec 2025-05-24 00:01 甲方安全团队看到会连夜排查文件上传接口! 白帽子边骂“这漏洞太低级”边点进来学绕过技巧!! 普通用户误以为是科幻小说,点开却被技术细节震撼!!! 算法推荐因“史诗级”“百万”等关键词疯狂推送!!!! 你还在犹豫什么!速速点击关注公众号加入我们吧!!!!!
继续阅读ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具 原创 道玄安全 道玄网安驿站 2025-05-23 23:00 “ 思科。” PS:有内网web自动化需求可以私信 01 — 导语 2025年5月,网络安全公司Sekoia.io揭露了一项名为 ViciousTrap 的高级持续性威胁活动。该组织通过利用思科(Cisco)路由器的漏洞(CVE-2023-20118)
继续阅读浅谈src挖掘中——文件上传和XSS漏洞的组合拳 routing 网络安全者 2025-05-23 16:01 0x1 前言 哈喽,师傅们好! 这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容,然后先是给小白师傅们简单介绍下XSS漏洞和文件上传漏洞。然后后面给师傅们简单演示了XSS之Flash弹窗钓鱼,然后后面很详细的介绍了文件上传和XSS漏洞的组合拳的好
继续阅读某若Y Vue漏洞检测工具(5月16日更新) kk12-30 Web安全工具库 2025-05-23 16:00 暗月渗透测试20 docker教程合集下载 链接:https://pan.quark.cn/s/c73b1644be56 =================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直
继续阅读【CVE-2025–4123】:Grafana SSRF 及帐户接管利用 原创 骨哥说事 骨哥说事 2025-05-23 16:00 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4339 **不想错过任何消
继续阅读Clash Verge 客户端 1-Click RCE 漏洞与蜜罐利用分析 Hee 安全的黑魔法 2025-05-23 14:17 Clash Verge 客户端 1-Click RCE 漏洞与蜜罐利用分析 漏洞分析 影响范围与组件 此漏洞影响特定版本的 Clash Verge 客户端及其集成的 Mihomo 核心。详细受影响组件及版本如下表所示: 名称 版本 地址 Clash Verge Rev
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞 cexlife 飓风网络安全 2025-05-23 12:25 漏洞描述: Grafana发布安全公告修复了2个安全漏洞,其中包括一个跨站点脚本(XSS)漏洞,该漏洞是由客户端路径遍历和开放重定向的结合造成的。这使得攻击者能够将用户重定向到一个托管前端插件的网站该插件将执行任意的JavaScript,如果安装了Grafan
继续阅读Grafana 紧急提前修复已被公开的XSS 0day漏洞 Ddos 代码卫士 2025-05-23 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Grafana Labs 披露了计划之外的安全发布,修复了一个高危XSS漏洞CVE-2025-4123(CVSS评分7.6)。 该XSS漏洞结合了一个客户端路径遍历漏洞和自定义前端插件中的一个开放重定向漏洞。该漏洞可导致攻击者将不知
继续阅读BadSuccessor 漏洞究竟有多严重?Akamai 和微软意见不一 Ryan Naraine 代码卫士 2025-05-23 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Akamai 公司的安全团队公开披露了位于 Windows Server 2025中的一个未修复提权漏洞 “BadSuccessor” 的利用详情。该漏洞可导致攻击者攻陷活动目录中的任意用户。 Akam
继续阅读【国际视野】美国国家标准与技术研究院推出识别IT漏洞利用的公式 原创 天极智库 天极智库 2025-05-23 10:31 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence (AI) Cybersecurit
继续阅读等保测评中漏洞扫描:筑牢网络安全防线的关键利器 国源天顺 2025-05-23 10:12 一、漏洞扫描的定义与核心价值 漏洞扫描是基于CVE、CNVD等权威漏洞数据库,通过自动化工具对信息系统进行系统性安全检测的技术手段。其核心价值在于通过模拟攻击行为,发现系统存在的软件缺陷、配置错误或未修复补丁等安全隐患,为安全加固提供精准依据。在等保测评体系中,漏洞扫描是验证信息系统是否符合《信息安全等级保
继续阅读【漏洞复现】Grafana XSS &SSRF & 账户接管(CVE-2025–4123) 原创 安全探索者 安全探索者 2025-05-23 09:53 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Grafana 是一个开源的分析平台,主要用 Go 和 TypeScript 构建,用于可视化来自 Prometheus 和 InfluxDB 等数据源的数据。 搜索语
继续阅读美国NIST、CISA联合提出漏洞利用概率度量标准 安全内参 2025-05-23 08:41 关注我们 带你读懂网络安全 NIST和CISA号召行业协作。 编译:代码卫士 CISA和NIST 的研究人员提出一项新的网络安全度量标准,旨在计算漏洞已遭在野利用的可能性。 NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文,说明了他们所提出的“可能遭利
继续阅读Deep Recon 发现未经身份验证的上传和 IDOR 漏洞 — 获得赏金 $$$ haidragon 安全狗的自我修养 2025-05-23 07:42 初始阶段——选择目标 在 Bugcrowd 上探索通配符程序时,我偶然发现了一个很有潜力的目标。我决定深入挖掘,进行深入侦察,这是我非常享受的事情。 侦察阶段 我使用了一个侦察 bash 脚本: !/usr/bin/env bashdomai
继续阅读信息安全漏洞周报【第023期】 零零捌信安观察 银天信息 2025-05-23 07:31 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读企业内部安全漏洞修复流程的建立与思考 云下信安 2025-05-23 07:25 最近因为工作问题,一直在与企业内部的漏洞修复进行跟进,针对企业内部修复有一些自己的见解 。 笔者根据自己在漏洞修复的具体参与工作,针对这些工作,给出具体实施的时候存在的一些注意事项(偏向具体实施),以及自己的一些心得感受和对安全从业人员的技术要求(踩过不少坑)。 1.漏洞发现与接收 1.1 内部漏洞扫描工具 1.1.
继续阅读疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22) 原创 BaizeSec 白泽安全实验室 2025-05-23 01:00 APT攻击 – 疑似俄罗斯 APT28 组织 在全球 攻击 活动中利用 0Day 漏洞 Swan-Vector APT组织通过DLL植入技术针对台湾与日本发动网络攻击 攻击活动 – 知名
继续阅读.NET WebShell 绕过 EDR 监控,不调用 cmd.exe 也能实现命令执行 专攻.NET安全的 dotNet安全矩阵 2025-05-23 00:30 在红队渗透环境中, 攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。 红队常用的 cmd.exe 指令执行方式在越来越多的场景中被标记为高危操作。即便你伪装得再好,只要触发了这一调用链,如E
继续阅读代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞 原创 JunYi 毅心安全 2025-05-22 16:01 代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞 代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞,访问特制的恶意网页即可触发本地文件写入,进一步利用各种软件的插件加载机制将文件写入扩展
继续阅读PDF 生成器漏洞利用:查找 PDF 生成器中 SSRF 漏洞的完整指南 Z2O安全攻防 2025-05-22 16:01 PDF 生成器在应用程序中很常见。开发人员倾向于使用这些组件来根据数据库提供的动态数据生成文档。然而,并非所有开发人员都意识到集成此功能可能带来的潜在风险。 在本文中,我们将深入探讨在 PDF 生成器中处理未经清理的用户可控输入的含义,以及如何利用这些特性并升级我们的初步发现
继续阅读漏洞赏金工具 — BBtool(5月21日更新) ctkqiang Web安全工具库 2025-05-22 16:00 暗月渗透测试19靶机测试系列视频14课合集下载 链接:https://pan.quark.cn/s/9ea6e8fec632 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供
继续阅读