谷歌账户恢复漏洞致攻击者可获取任意用户手机号
谷歌账户恢复漏洞致攻击者可获取任意用户手机号 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 根据BruteCat安全研究人员本周披露的报告,谷歌账户恢复系统中存在一个高危漏洞,攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复,其利用谷歌的无JavaScript(No-JS)用户名恢复表单绕过安全防护机制,窃取敏感个人信息。 漏洞原
继续阅读月度归档: 2025 年 6 月
图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团
图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 卡巴斯基实验室最新报告披露,一个被称为”图书管理员食尸鬼”(Librarian Ghouls,别称”稀有狼人”和”Rezet”)的高级持续性威胁(APT)组织近期再度活跃,正在俄罗斯和
继续阅读CVE-2025-49113 漏洞分析与利用方式
CVE-2025-49113 漏洞分析与利用方式 原创 4uuu Nya 奇安信天工实验室 2025-06-10 07:06 目 录 一、前 言 二、版本diff 三、复现环境 四、漏洞分析 五、总 结 一 前 言 2025年6月2日公开了一个RoundCube邮件系统中的一个RCE漏洞,信息如下: 影响版 本<1.5.10 <1.6.11 , 虽 然 是一个认证后才可以触发的漏
继续阅读利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率
利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率 Ots安全 2025-06-10 06:26 本文深入探讨了如何通过利用自动化工具“reverge”显著提升漏洞赏金(bug bounty) hunting的效率与成功率,特别针对当前网络安全领域日益增长的需求和挑战。文章以作者的亲身实践为基础,详细讲解了从漏洞的证明概念(PoC,例如近期在Fortinet产品中被利用的CV
继续阅读Apache Kafka 多个高危漏洞安全风险通告
Apache Kafka 多个高危漏洞安全风险通告 奇安信 CERT 2025-06-10 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka 多个高危漏洞 漏洞编号 CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 公开时间 2025-06-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数
继续阅读KAFKA CLIENT 3.9.0 及以下版本存在服务器端请求伪造漏洞
KAFKA CLIENT 3.9.0 及以下版本存在服务器端请求伪造漏洞 独眼情报 2025-06-10 05:06 在 Apache Kafka Client 3.9.0 及更早版本中发现了一个被评为关键的漏洞。这影响了一些未知的处理过程。对未知输入的操控会导致服务器端请求伪造漏洞。CWE 将此问题归类为 CWE-918。Web 服务器从上游组件接收 URL 或类似请求并检索该 URL 的内容,
继续阅读110页 SOC中的网络威胁情报应用
110页 SOC中的网络威胁情报应用 原创 计算机与网络安全 计算机与网络安全 2025-06-10 04:57 作者凭借15年信息安全从业经验,持有CISSP、ECSA等28项专业认证,现任NetSentries Technologies首席技术官。本书的独特价值在于将军事领域的”杀伤链”理论(Cyber Kill Chain)与商业安全实践相结合,填补了威胁情报操作化实
继续阅读ms017-010漏洞扫描及安全检查
ms017-010漏洞扫描及安全检查 原创 simeon的文章 小兵搞安全 2025-06-10 04:05 1.1ms017-010简介 MS17-010是微软于2017年3月发布的重要安全补丁,修复了SMBv1协议中一个严重远程代码执行漏洞,MS17-010被微软评为Critical(严重)级别。2017年4月,影子经纪人(Shadow Brokers)泄露的NSA武器库中包含该漏洞利用工具“
继续阅读最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备
最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备 白帽子左一 白帽子左一 2025-06-10 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 滥用已知的安全漏洞在易受攻击的系统上部署机器人是一种广为人知的问题。许多自动化机器人会持续扫描互联网上的服务器和设备,寻找已知漏洞,
继续阅读速修!Kafka Connect爆任意文件读取漏洞,无需授权
速修!Kafka Connect爆任意文件读取漏洞,无需授权 原创 微步情报局 微步在线研究响应中心 2025-06-10 02:20 漏洞概况 Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。 微步情报局通过X漏洞奖励计划获取到Apache Kafka Connect任意文件读取漏洞(https:/
继续阅读SRC 漏洞挖掘中的绕过 WAF 技巧
SRC 漏洞挖掘中的绕过 WAF 技巧 原创 GhostShell 乌雲安全 2025-06-10 01:51 在 SRC 漏洞挖掘中,WAF是挖掘者面临的一大障碍。WAF 能够检测和阻止常见的攻击请求,但挖掘者可通过特定技巧绕过它,下面介绍几种常见的绕过 WAF 技巧。 一、基于正则表达式的绕过 WAF 通常使用正则表达式来匹配和过滤恶意请求。挖掘者可通过修改 payload 的大小写、使用编码
继续阅读2025年5月企业必修安全漏洞清单
2025年5月企业必修安全漏洞清单 云鼎实验室 2025-06-10 01:34 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全
继续阅读信息安全漏洞月报(2025年5月)
信息安全漏洞月报(2025年5月) 原创 CNNVD CNNVD安全动态 2025-06-10 01:10 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2025年5月采集安全漏洞共3984个。 本月接报漏洞1238个,其中信息技术产品漏洞(通用型漏洞)1127个,网络信息系统漏洞(事件型漏洞)111个。漏洞平台推送漏洞35083个。 重大漏洞通报 Fortinet多款产
继续阅读卡巴斯基报告,APT组织针对独联体国家
卡巴斯基报告,APT组织针对独联体国家 会杀毒的单反狗 军哥网络安全读报 2025-06-10 01:01 导读 一个名为“Librarian Ghouls”的高级持续性威胁 (APT) 组织进行了一场网络攻击活动,该组织针对俄罗斯和独联体国家,以窃取敏感数据并在受害者系统部署门罗币挖矿木马。 卡巴斯基研究人员称,最初的感染媒介涉及针对性的网络钓鱼电子邮件,其中携带受密码保护的存档文件,其中包含可
继续阅读漏洞赏金工具 v1.0
漏洞赏金工具 v1.0 ctkqiang 菜鸟学信安 2025-06-10 00:30 工具介绍 漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。 功能演示 主界面 主要特性 美观的图形界面 支持多种主题切换(超级英雄风、赛博朋克、暗黑模式等) 实时日志输出展示 简洁直观的工具选择界面 集
继续阅读直播预告 | “银狐”拉群,为什么防不住?
直播预告 | “银狐”拉群,为什么防不住? 微步在线 2025-06-10 00:29 最近银狐拉群投毒实在太凶了 从几十人小群到近万人大群 让人感到心力交瘁 6月13日下午3:00 有一场 【 1 小时 】 的闭门直播 聊聊银狐的“防不住”和“怎么防” 报 名 通 道 银狐是一类特定木马吗?貌似不是 最多一天有 数百个 新变种 杀软 快马加鞭 也追不上它的脚步 是特定的黑产团伙吗?貌似也不是 至
继续阅读Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC
Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC 2025-6-9更新 南风漏洞复现文库 2025-06-09 15:39 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Dataease简介
继续阅读神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞
神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞 HK安全小屋 2025-06-09 15:05添加文章 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 神州数码DCN系统是一种网络交换机系统,具有高性能和可靠性。它采
继续阅读Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限
Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限 邑安科技 邑安全 2025-06-09 14:45 更多全球网络安全资讯尽在邑安全 影响 Dell PowerScale OneFS 存储作系统的两个重大安全漏洞,其中最严重的缺陷可能允许未经身份验证的攻击者获得对企业文件系统数据的完全未经授权的访问。 该严重漏洞被跟踪为 CVE-2024-53298,影响 Power
继续阅读探讨进程注入:CONTEXT-Only
探讨进程注入:CONTEXT-Only 原创 半只红队 半只红队 2025-06-09 14:22 在基本的远程进程注入中,EDR会监视这经典的三个迹象: – 给进程分配新的内存:VirtualAllocEx 修改此进程的内存:WriteProcessMemory、VirtualProtectEx 执行:CreateRemoteThread 在这篇文章中,我们依据这一篇文章(https
继续阅读G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞
G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞 Shangzhi Xu 安全研究GoSSIP 2025-06-09 14:11 “ 穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱 。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,
继续阅读赏金SRC 某开源社区存在水平越权漏洞
赏金SRC 某开源社区存在水平越权漏洞 原创 天启互联网工作室 天启互联网实验室 2025-06-09 13:44 用户A的ID:xxx625A 用户B的ID:xxx883A 点击头像的>功能点 查看个人信息功能点同时抓包的: 抓到数据包如下,看到customerCode参数为用户A的ID: 将数据包发送到重放器: 点击发送,可以看到用户A的个人信息,用户昵称、城市、省份、身份类型、客户编号
继续阅读分享Huntr上的几个大模型框架的漏洞
分享Huntr上的几个大模型框架的漏洞 原创 Shangzhi Xu SecNotes 2025-06-09 12:48 “ 穷学生终于交完论文了,最近想逛逛huntr,想看看能不能崩个蛋白粉 钱 。 不得不说很多bug bounty项目上报出来的漏洞确实很有意思,首先是都有比较详细的root cause介绍,数据怎么进来的程序怎么崩溃的,其次是确实是有足够高的严重性才能被接收。 很多CVE相
继续阅读记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读微软MSRC榜首赏金猎人带你来挖洞
微软MSRC榜首赏金猎人带你来挖洞 迪哥讲事 2025-06-09 12:05 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实
继续阅读Vite漏洞利用指南(文末附工具)
Vite漏洞利用指南(文末附工具) /root 励行安全 2025-06-09 12:03 漏洞利用方法汇总 1. CVE-2025-30208 (尾部分隔符绕过) 影响版本 : < 6.2.3, < 6.1.2, < 6.0.12, < 5.4.15, < 4.5.10 修复版本 : 6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10 利用原理
继续阅读2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展
2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展 360数字安全 2025-06-09 11:57 News Today 近日,由中国计算机学会主办,CCF计算机安全专业委员会、360数字安全集团和绿盟科技集团共同承办的“第十七届信息安全高级论坛暨2025 RSAC热点研讨会”在北京成功举办。本届论坛以“多元聚智·协同守护”为主题,汇聚政产学研企多方专家,围绕2025年RSA
继续阅读CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞
CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞 白帽子 2025-06-09 10:35 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:4617 阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负。 0x01 简介 FlowiseAI 是一款开源的低代码/无代码工具,用于快速构建基于大语言模
继续阅读APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-06-09 10:17 APT-C-56 透明部落 APT-C-56(#透明部落 )(即Transparent Tribe),又称APT36、ProjectM或C-Major,是一家源自南亚的高级持续性威胁(APT)组织。该组织的主要攻击区域集中于印度及其周边国家
继续阅读精品产品系列 | 捷普漏洞扫描系统
精品产品系列 | 捷普漏洞扫描系统 交大捷普 2025-06-09 10:10 —捷普2025精品产品系列— 捷普漏洞扫描系统 核心优势 01 丰富的漏洞库资源 捷普漏洞扫描系统(NVAS)的漏洞知识库量级为300000+条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNN
继续阅读