每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施 交大捷普 2025-06-09 10:10 2025[ 每周网安资讯 ]6.4-6.9 网安资讯 1、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》 为进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗
继续阅读工具集:Sinject 【DLL+Shellcode的Windows注入免杀工具】 风铃Sec 2025-06-09 09:56 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】 0x01 工具介绍 只是罗列各种方法,免杀推荐搭配其他技巧,要具体灵活使用! 工具支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具,支持图形化界面;
继续阅读价值 1,250 美刀 的主机标头注入 原创 红云谈安全 红云谈安全 2025-06-09 09:55 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢!请在授权的站点测试,遵守网络安全法! 仅供 学习使用,如若非法他用,
继续阅读DataEase 远程代码执行漏洞分析 重生之成为赛博女保安 2025-06-09 09:55 漏洞描述 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 漏洞影响版本: DataEase < 2.10.10 漏洞详情: 在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC
继续阅读雷神众测漏洞周报2025.6.3-2025.6.8 原创 雷神众测 雷神众测 2025-06-09 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读上周关注度较高的产品安全漏洞(20250602-20250608) 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 一、境外厂商产品漏洞 1、Google Chrome越界读写漏洞 Google Chrome是由谷歌公司开发的网页浏览器。Google Chrome存在越界读写漏洞,该漏洞源于V8引擎中的越界读写问题,攻击者可利用漏洞通过恶意网页触发漏洞,绕过沙箱防护实现远程代码
继续阅读CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读0042.我如何发现 SMTP 注入漏洞并在短短 30 分钟内赚了 800 美元! TheIndianNetwork Rsec 2025-06-09 09:34 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:SMTP注入 漏洞赏金狩猎总是充满惊喜,有时最容易利用的漏洞反而能带来丰厚的回报。本文讲述了我如何偶然发现一个SMT
继续阅读安全热点周报:Google 修复了在攻击中被利用的新 Chrome 零日漏洞 奇安信 CERT 2025-06-09 09:32 安全资讯导视 • 李强签署国务院令,公布《政务数据共享条例》 • 阿里云核心域名遭“劫持”,域名安全引担忧 • 国家安全部:境外间谍对我实施网络攻击窃密愈演愈烈 PART01 漏洞情报 1.Roundcube Webmail后台代码执行漏洞安全风险通告 6月6日,奇安
继续阅读议程大公开,精彩内容抢先看|蚂蚁SRC年度TOP颁奖盛典&安全交流会来袭 信安404 2025-06-09 09:16 6月14日杭州,蚂蚁SRC年度活动来啦 议程大公开,精彩内容抢先看!由清华大学&中关村实验室、Johns Hopkins等顶级高校带来的大模型前沿研究成果,与通义千问、豆包等知名大模型安全负责人带来的实战经验分享 👇️ 精彩不容错过 👇️ 新人专属“首挖礼” 即日
继续阅读【高危漏洞预警】VMware Cloud Foundation 信息泄露漏洞(CVE-2025-41230) cexlife 飓风网络安全 2025-06-09 09:11 漏洞描述: VMware Cloud Foundation是美国威睿(VMware)公司的一套一体化混合云平台,该平台包括运维自动化、基础架构自动配置和集成式生命周期管理等功能,攻击者可以通过网络访问VMԝаrе Clоud
继续阅读Chrome插件安全警报:微软、AVG等知名应用曝出重大漏洞,你的隐私或在“裸奔”! 原创 Hankzheng 技术修道场 2025-06-09 09:00 引子:你在咖啡馆上网,它在背后“出卖”你 想象一下:你正坐在咖啡馆,连着公共Wi-Fi,屏幕上的Chrome浏览器里,那些熟悉的插件图标让你倍感安心——VPN保护着你的网络,截图工具随时待命,语法检查器帮你完善文案。但你不知道的是,赛门铁克的
继续阅读Java FreeMarker 模板引擎注入深入分析 蚁景网安 2025-06-09 08:59 温馨提示:图片有点多,请耐心阅读哦 0x01 前言 最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。 – • 有三个最重要的模板,其实模板引擎本
继续阅读trojan管理平台任意重置管理员密码+命令执行组合漏洞 原创 zangcc Eureka安全 2025-06-09 08:51 需要明确的是,此次研究和分享基于技术研究和提升安全意识的目的。我们旨在通过对此漏洞的 分析,帮助广大安全从业者更好地了解漏洞的成因、存在的风险,以及如何有效进行防范。 我们在 此郑重声明,本文的读者应当是出于合法、合规的目的来阅读和使用这些信息。任何未经授权使用 本文内
继续阅读全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年 安全客 2025-06-09 08:37 近日,一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出,全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex,借助安卓平台的本地通信机制,绕过系统权限控制与用户隐私防护,悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一
继续阅读某景人事管理系统漏洞挖掘与分析 tj 李白你好 2025-06-09 08:21 免责声明: 由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 文章作者:先知社区(tj) 文章来源: https://xz.aliyun.com/news/
继续阅读代码审计之 XXE漏洞场景,及实战讲解! 闪石星曜CyberSecurity 2025-06-09 08:08 声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关! 本篇为代码审计系列XXE漏洞理论篇第六篇,看完本篇你将掌握关于XXE漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 基本概念 XML概念 DTD概念 DOCTYPE概念 业务视
继续阅读漏洞通告 | Roundcube Webmail存在反序列化漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-09 08:05 漏洞概况 Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。 微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506
继续阅读网络安全攻防:别再傻傻地等漏洞,主动出击,从JS里挖金矿! 龙哥网络安全 龙哥网络安全 2025-06-09 07:30 作者:奇安信攻防社区(中铁13层打工人?也许是深藏不露的扫地僧!) 原文链接?太规矩了!直接搜标题,找不到算我输! 还在对着WAF日志发呆?还在指望扫描器给你惊喜?醒醒吧!真正的网络安全,是主动出击,是抽丝剥茧,是从看似平静的前端代码里,挖掘出足以撼动整个系统的漏洞!今天,咱们
继续阅读近期暗网 0day 售卖预警 原创 独眼情报 独眼情报 2025-06-09 05:56 好不容易又攒了一波 0day 售卖情报。8条信息,付费需谨慎,且看且珍惜。 警惕0day漏洞风险!0day漏洞是指尚未公开补丁、厂商和用户都无法及时防御的安全漏洞,一旦被黑客利用,可能导致系统被攻破、数据泄露甚至业务中断。任何安全产品都无法百分百防御0day攻击,唯有通过及时更新系统和软件、加强终端防护、完善
继续阅读MS12-020漏洞利用及复现 原创 simeon的文章 小兵搞安全 2025-06-09 05:51 1.1MS12-020简介 MS12-020 漏洞是微软在2012年发布的一个安全更新所修复的漏洞,它涉及到Windows操作系统的远程桌面协议(RDP)。该漏洞编号为CVE-2012-0003,属于远程代码执行(RCE)类型,允许未经认证的攻击者通过发送特制的RDP数据包到开启了RDP服务的目
继续阅读“熟人”发来的退税链接?小心“银狐”盗刷陷阱 猎影实验室 网络安全研究宅基地 2025-06-09 03:30 一、事件概述 近期,安恒信息猎影实验室观测到多起由“银狐”威胁体发起的钓鱼攻击活动。该木马主要 通过仿冒网站的SEO投毒和钓鱼邮件进行传播 。一旦用户中招 ,攻击者会在受害主机上植入ValleyRAT/HackBrian RAT远控木马, 并劫持用户正在运行的微信、钉钉等社交或办公软件,
继续阅读【$500】存在 2 年之久的 Android 锁屏绕过漏洞 原创 骨哥说事 骨哥说事 2025-06-09 02:52 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4430 **不想错过任何消息?设置星标
继续阅读博斯外贸管理软件V6.0 DCreceiveBox.jsp SQL注入漏洞 Superhero Nday Poc 2025-06-09 02:05 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 博斯外贸管理
继续阅读Alibaba Sentinel SSRF漏洞代码审计 小瑟斯 实战安全研究 2025-06-09 02:00 一、Sentinel介绍 引用自官方介绍 随着微服务的流行,服务和服务之间的稳定性变得越来越重要,Sentinel 是面向分布式、多语言异构化服务架构的流量治理组件,主要以流量为切入点,从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微
继续阅读突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧 黑白之道 2025-06-09 01:54 0x01 前言 本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方法和绕过技巧。 参考文章: https://xz.aliyun.com/news/18
继续阅读“取个快递”,损失数十万!已接连有人中招;|黑客利用iMessage零点击漏洞攻击iPhone用户 黑白之道 2025-06-09 01:54 “取个快递”,损失数十万!已接连有人中招; “618”促销活动正在火热进行中,又到了频繁收快递的时候。如果您接到取件短信却找不到快递,或接到快递因派件不成功而被收回的短信通知,千万要提高警惕! 近日有两起电诈案例, 当事人都是在接到取快递的短信后,因没找到
继续阅读xxl-job漏洞综合利用工具 黑白之道 2025-06-09 01:54 工具介绍 xxl-job漏洞综合利用工具 检测漏洞 1、默认口令 2、api接口未授权Hessian反序列化(只检测是否存在接口,是否存在漏洞需要打内存马验证) 3、Executor未授权命令执行 4、默认accessToken身份绕过 关于内存马 1、内存马使用了xslt,为了提高可用性提供了冰蝎Filter和Vagen
继续阅读奖金限时翻倍 | 补天专属厂商“58到家SRC”发布活动! 补天平台 2025-06-09 01:44 奖金翻倍 | 58到家SRC Part.01 关于58到家 到家集团是以提供家庭服务为核心业务的到家服务平台,旗下包含天鹅到家(原58到家)、快狗打车(原58速运)、蓝领数科等业务,服务内容涵盖家政、搬家、速运、维修等众多领域,提供的服务已覆盖6个国家及地区、400多个城市,致力于为用户提供高品
继续阅读