【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞
【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-16 02:28 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读标签: 代码
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 Superhero nday POC 2024-12-16 02:11 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 原创 红岸基地赵小龙 暗影网安实验室 2024-12-16 02:02 事件经过 近期,安全研究人员发现大众旗下斯柯达部分车型的车载信息娱乐系统存在多个漏洞,这些漏洞可能被攻击者利用以远程控制特定功能并追踪汽车位置。PCAutomotive在黑帽欧洲大会(Black Hat Europe)上披露了
继续阅读SRC漏洞挖掘思路手法(非常详细)
SRC漏洞挖掘思路手法(非常详细) 原创 菜狗 富贵安全 2024-12-16 01:15 这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。 很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有
继续阅读Clop 勒索软件组织对利用Cleo 0day窃取数据负责
Clop 勒索软件组织对利用Cleo 0day窃取数据负责 会杀毒的单反狗 军哥网络安全读报 2024-12-16 01:00 导读 Clop 勒索软件团伙向 BleepingComputer 证实,他们是最近 Cleo 数据盗窃攻击的幕后黑手,利用零日漏洞侵入公司网络并窃取数据。 Cleo 是托管文件传输平台 Cleo Harmony、VLTrader 和 LexiCom 的开发商,公司使用这些
继续阅读实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载)
实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载) 原创 sspsec SSP安全研究 2024-12-16 00:57 在本次金融系统安全测试中,我们从一个日志泄露问题入手,逐步挖掘并利用了系统弱口令和越权访问漏洞,最终实现了对后台系统的高权限接管。本次分享将带您全程回顾漏洞挖掘过程及系统安全的防护建议。 🔍 1. 日志泄露 – 敏感信息曝光 漏洞描述 我们使用自研的Sp
继续阅读「漏洞复现」PbootCMS entrance.php SQL注入漏洞
「漏洞复现」PbootCMS entrance.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-16 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞
漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 大华DSS-平安城市解决方案是大华技术提供的一套全面、可靠的智能安防解决方案,以技术创新为驱动力,致力于提升城市整体安全水平。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏
继续阅读漏洞预警 | 用友NC SQL注入漏洞
漏洞预警 | 用友NC SQL注入漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞
【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-15 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简洁的操作,去繁存精,更易使用,助您
继续阅读【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行
【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行 原创 儒道易行 儒道易行 2024-12-15 18:00 那天下着很大的雨,母亲从城里走回来的时候,浑身就是一个泥人,那一刻我就知道我没有别的选择了 LDAP Injection (Search) LDAP 全英文:Lightweight Directory Acce
继续阅读浅析渗透实战中url跳转漏洞
浅析渗透实战中url跳转漏洞 船山信安 2024-12-15 17:00 前言 最近在一些厂商项目中开始接触到一些url任意重定向,虽然是低危,奖金较低,(虽然国外已经是几百$)但是一旦找到突破点,几乎整个站的url跳转都可以bypass,一个厂商所有点的url跳转加起来奖金也比较可观,所以将自己挖掘过程中一点点心得分享一下。 简介 先走个流程说些废话,url重定向漏洞也称url任意跳转漏洞,网站
继续阅读Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)
Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527) TtTeam 2024-12-15 16:02 原文首发在:奇安信攻防社区 https://forum.butian.net/share/2741 作者:Le1a@threatbook校验:jweny@threatbook 漏洞描述 Atlassian Confluence是一款由Atlassian开发
继续阅读泛微云桥e-Bridge SQL注入漏洞分析
泛微云桥e-Bridge SQL注入漏洞分析 原创 莫大130 安全逐梦人 2024-12-15 14:37 12月到了,今天带来泛微云桥e-Bridge SQL注入漏洞分析,从环境搭建到漏洞利用一系列操作,技术含量不高,当学习一下java代码审计 环境搭建 https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_serve
继续阅读aiohttp存在目录遍历漏洞(CVE-2024-23334)
aiohttp存在目录遍历漏洞(CVE-2024-23334) 闻人语默 老鑫安全 2024-12-15 09:31 aiohttp是一个Python的HTTP客户端/服务器框架,它基于asyncio库实现异步编程模型,可以支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。近日监测到aiohttp目
继续阅读通过更智能的开发策略解决软件漏洞
通过更智能的开发策略解决软件漏洞 很近也很远 网络研究观 2024-12-15 04:00 介绍了开发人员如何解决复杂系统中的漏洞、组织如何更好地支持安全编码实践,以及语言和框架在安全开发中的作用。 现代软件系统越来越复杂,开发人员可以采取什么策略来解决这种复杂性带来的隐藏漏洞? 如今,开发人员可以利用一系列相当新颖的策略,这些策略可以显著改善源代码安全性,并消除处理规模和复杂性方面的传统障碍。
继续阅读关键的Windows UI自动化框架漏洞允许黑客绕过EDR
关键的Windows UI自动化框架漏洞允许黑客绕过EDR 老布 FreeBuf 2024-12-15 02:03 一种新近开发的技术,利用了Windows的一个辅助功能框架——UI Automation(UIA),来执行多种恶意活动,同时巧妙地避开了端点检测和响应(EDR)解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出:“要
继续阅读网络资产收集与漏洞扫描工具
网络资产收集与漏洞扫描工具 黑白之道 2024-12-15 01:43 工具介绍 hscan是一款网络资产收集与漏洞扫描工具,作者目前已完成以下功能。 探活 服务扫描(常规 & 非常规端口) poc探测(xray v2 & nuclei格式) 数据库等弱口令爆破 内网常见漏洞利用 快速使用 sudo ./hscan -h IP或IP段 sudo ./hscan -hf IP或IP段
继续阅读大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞
大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-15 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读某阅读器支付逻辑漏洞
某阅读器支付逻辑漏洞 进击的HACK 2024-12-14 23:55 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 公司:北京某某教育科技有限公司 奇安信搜索:icp.name=”北京某某教育科技有限公司” 补天不收录上传型XSS漏洞,但是感觉有些必要,当做学习思路,也一
继续阅读cve-2024-26229 漏洞分析
cve-2024-26229 漏洞分析 l1nk TtTeam 2024-12-14 16:00 原文首发在:奇安信攻防社区 https://forum.butian.net/share/3101 CSC 漏洞分析 前几日,有人在github中放出了CVE-2024-26229的利用脚本,这里我们就借此机会,分析一下这个漏洞的成因,以及一些利用技巧 背景介绍 Windows 支持很多基于网络的文件
继续阅读看见创新力量!极客公园 2024 年度「InnoForce 50」发布
看见创新力量!极客公园 2024 年度「InnoForce 50」发布 原创 极客公园 极客公园 2024-12-14 14:14 排序按照拼音/英文首字母顺序 作为中国领先的创新者社区,极客公园自成立之初便与国内技术创新的浪潮同频共振, 见证了一代又一代技术商业领袖的成长与蜕变。 自 2011 年 1 月首次推出 InnoAwards 以来,极客公园便致力于通过其记录和展示科技互联网领域的年度发
继续阅读在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告
在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告 原创 管窥蠡测 安在 2024-12-14 08:25 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、央视起底倒卖游戏账号犯罪链 经过近一年的侦破工作,山东济宁曲阜警方近日摧毁一个利用制作、安装木马程序
继续阅读「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞
「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞 冷漠安全 冷漠安全 2024-12-14 04:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Zabbix 存在SQL注入漏洞 (CVE-2024-42327)
Zabbix 存在SQL注入漏洞 (CVE-2024-42327) Mstir 星悦安全 2024-12-14 04:20 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Zabbix 是一款可监控网络的众多参数以及服务器、虚拟机、应用程序、服务、数据库、网站、云等的健康状况和完整性。Zabbix 使用灵活的通知机制,允许用户为几乎任何事件配置基于电子邮件的警报。这允许对服务器问题做出快速
继续阅读价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 原创 一个不正经的黑客 一个不正经的黑客 2024-12-14 04:05 价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 正文 这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。 我当时在测试一个电子商务网站。 该网站有两个资产在测试范围内: target.com 和 admin.target.com。 其中 t
继续阅读安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送
安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送 掌控安全EDU 掌控安全EDU 2024-12-14 04:05 扫码咨询 领福利 作为高薪高技术高缺口的网络行业,通过自学能达到就业标准那当然很棒,但是并不是所有人都适合这条路.有人一走就是1年,甚至更久.. 为什么会有培训机构的存在? 存在即合理,相对于校园的偏理论授课,我们会更倾向于实战教学 ,网络安全是顶级学科,以渗透实战为主的技术
继续阅读北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用)
AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用) 原创 Ting丶 Ting的安全笔记 2024-12-14 02:20 WingBy小密圈知识星球简介在文末。 前期准备 环境需要:Linux(这里使用kali)、Anaconda 首先安装Anaconda 前言:最好使用linux,如果使用windows可能会产生各种报错(各种各种各种!!!),最好使用Anaconda,方便独立管
继续阅读知名企业级文件传输产品存在漏洞,正在被黑客利用
知名企业级文件传输产品存在漏洞,正在被黑客利用 Alpha_h4ck FreeBuf 2024-12-14 02:04 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom
继续阅读