微软发现普遍存在于Android应用中的“Dirty Stream”安全漏洞
微软发现普遍存在于Android应用中的“Dirty Stream”安全漏洞 安世加 安世加 2024-05-07 19:00 据报道,微软近日揭露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞普遍存在于Android应用程序中,可能允许攻击者执行恶意代码,进而控制应用程序并窃取有价值的用户信息。据微软的研究显示,此漏洞影响范围广泛,涉及数十亿次下载的流行Android应用程序。 “
继续阅读标签: 代码
【安全圈】Tinyproxy 曝出严重漏洞,影响全球52000 台主机
【安全圈】Tinyproxy 曝出严重漏洞,影响全球52000 台主机 安全圈 2024-05-07 19:00 关键词 系统漏洞 近日,攻击面管理公司 Censys 分享了一组数据:截至 2024 年 5 月 3 日,在90310台主机中,有 52000 台(约占 57%)运行着有漏洞的 Tinyproxy 版本。 这些可能受到漏洞影响的主机分布于美国(32846 台)、韩国(18358 台)、
继续阅读Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞
Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞 Jai Vijayan 代码卫士 2024-05-07 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Citrix 公司悄悄修复了位于 ADC 和 Gateway 设备中的一个漏洞,它可导致远程未认证攻击者从受影响系统的内存中获得潜在的敏感信息。 该漏洞与 CitrixBleed (CVE-2024-4
继续阅读雷神众测漏洞周报2024.04.29-2024.05.05
雷神众测漏洞周报2024.04.29-2024.05.05 原创 雷神众测 雷神众测 2024-05-07 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读CVE-2024-1212
CVE-2024-1212 原创 fgz AI与网安 2024-05-07 07:10 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Progress Kemp LoadMaster 远程命令执行漏洞 02 — 漏洞影响 LoadMaster &
继续阅读最新Linux_Nessus2024.5.6版本主机漏洞扫描/探测工具下载Linux/Windows版
最新Linux_Nessus2024.5.6版本主机漏洞扫描/探测工具下载Linux/Windows版 原创 城北 渗透安全HackTwo 2024-05-07 00:00 前言 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进
继续阅读有手就会?记一次绕过防重放的漏洞挖掘
有手就会?记一次绕过防重放的漏洞挖掘 数据安全合规交流部落 2024-05-06 23:27 1 前言 随着当前攻防水平的不断提高,实战攻防过程中,经常能遇到前端的参数被各种各样的方式加密的情况。毫无疑问,这种方式能够防止很多脚本小子的脚步,但是很多网站就存在“金玉其外,败絮其内“的情况,将传递的参数加密了事,忽略很多系统本身存在的安全风险。本文以实战角度出发,介绍面对这种防重放的情况下的攻防技巧
继续阅读记一次绕过防重放的漏洞挖掘
记一次绕过防重放的漏洞挖掘 迪哥讲事 2024-05-06 23:00 1 前言 随着当前攻防水平的不断提高,实战攻防过程中,经常能遇到前端的参数被各种各样的方式加密的情况。毫无疑问,这种方式能够防止很多脚本小子的脚步,但是很多网站就存在“金玉其外,败絮其内“的情况,将传递的参数加密了事,忽略很多系统本身存在的安全风险。本文以实战角度出发,介绍面对这种防重放的情况下的攻防技巧。 2 背景 某次渗透
继续阅读图创图书馆集群管理系统 updOpuserPw接口存在SQL注入漏洞
图创图书馆集群管理系统 updOpuserPw接口存在SQL注入漏洞 南风徐来 南风漏洞复现文库 2024-05-06 22:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 图创图书馆集群管理系统简介 微信公众号搜索:南风漏洞复现
继续阅读图创图书馆集群管理系统SSOServlet接口存在未授权访问漏洞
图创图书馆集群管理系统SSOServlet接口存在未授权访问漏洞 南风徐来 南风漏洞复现文库 2024-05-06 22:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 图创图书馆集群管理系统简介 微信公众号搜索:南风漏洞复现文库
继续阅读用友时空KSOA linksframe/linkadd.jsp接口存在SQL注入漏洞
用友时空KSOA linksframe/linkadd.jsp接口存在SQL注入漏洞 南风徐来 南风漏洞复现文库 2024-05-06 22:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友时空KSOA简介 微信公众号搜索:南
继续阅读打靶训练——Netlogon域提权(CVE-2020-1472)
打靶训练——Netlogon域提权(CVE-2020-1472) 原创 joyboy fly的渗透学习笔记 2024-05-06 22:06 环境搭建: 攻击机kali(192.168.1.109) win server2008(192.168.1.104)双网卡(域内机器) 域控server2016:xxxx 漏洞描述: CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞
继续阅读【护网必问】Vcenter后渗透漏洞应用!
【护网必问】Vcenter后渗透漏洞应用! 进击的HACK 2024-05-06 21:51 点击蓝字,立即关注 前言:通过未授权前台上传shell成功拿到webshell,这几天面试题问的多,就先尝试一下Vcenter后渗透 漏洞版本->6.71 https://10.128.23.123/sdk/vimServiceVersions.xml VMware vCenter Server 7
继续阅读Ncast高清智能录播系统存在任意文件读取漏洞
Ncast高清智能录播系统存在任意文件读取漏洞 原创 RockSec Rock sec 2024-05-06 20:16 漏洞简介 Ncast 录播系统能将授课或演讲者之影像、声音及上课讲义,以全硬件设备方式即时记录成标准的网络流媒体格式,并通过网络及服务器同步直播。 FOFA语句 title==”高清智能录播系统” 测试截图 POC如下: GET /developLog/
继续阅读如何使用resource-counter统计跨Amazon区域的不同类型资源数量
如何使用resource-counter统计跨Amazon区域的不同类型资源数量 Alpha_h4ck FreeBuf 2024-05-06 19:01 关于resource-counter resource-counter是一款功能强大的命令行工具,该工具基于纯Python 3开发,可以帮助广大研究人员跨Amazon区域统计不同类型资源的数量。 该工具在统计完不同区域的各类资源数量后,可以在命令
继续阅读微软披露严重安全漏洞,受影响App安装量超40亿
微软披露严重安全漏洞,受影响App安装量超40亿 小王斯基 FreeBuf 2024-05-06 19:01 左右滑动查看更多 近日,研究人员披露了一个名为「Dirty Stream」的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明,威胁攻击者可以利用该安全漏洞,执行任意代码以及盗取令牌
继续阅读SploitScan帮你发现最新漏洞
SploitScan帮你发现最新漏洞 原创 黑客驰HackerChi 黑客驰 2024-05-06 18:36 ❝ 欢迎访问我们的网站和关注我们的公众号,获取最新的 免费资源、安全知识、信息流。 网站:https://hackerchi.top 信息流:https://hackerchi.top/Feeds.html 公众号: 黑客驰 ❞ 💡 免
继续阅读微软披露Android应用中普遍存在的严重漏洞,受影响应用安装量超40亿次
微软披露Android应用中普遍存在的严重漏洞,受影响应用安装量超40亿次 看雪学苑 看雪学苑 2024-05-06 17:59 微软近日发现了一种名为“Dirty Stream”的攻击技术,可能允许黑客控制应用程序并窃取敏感数据,影响多个广泛使用的Android应用程序,数十亿设备面临风险。 据微软公告,“Dirty Stream”是一种与路径遍历相关的攻击模式,该漏洞可能被恶意应用程序利用来覆
继续阅读CISA督促软件维护人员修复路径遍历漏洞
CISA督促软件维护人员修复路径遍历漏洞 Sergiu Gatlan 代码卫士 2024-05-06 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA和FBI督促软件企业审计产品并在交付前修复路径遍历漏洞。 攻击者可利用路径遍历漏洞(也被称为目录遍历漏洞)创建或覆写用于执行代码或绕过安全机制如认证的重要文件。这类安全缺陷可导致威胁行动者访问敏感数据如凭据可用于暴力破解业已
继续阅读谷歌安卓应用的RCE漏洞最高赏金45万美元
谷歌安卓应用的RCE漏洞最高赏金45万美元 Zeljka Zorz 代码卫士 2024-05-06 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌大幅增加了赏金猎人能通过从谷歌所开发和维护的安卓应用中找到漏洞能获得的赏金。 谷歌信息安全工程师 Kristoffer Blasiak 指出,“我们对某些类别内的赏金额最高增加到原来的10倍(如第一级别应用中的远程任意代码执行漏洞
继续阅读四个关键漏洞使 HPE Aruba 设备面临 RCE 攻击
四个关键漏洞使 HPE Aruba 设备面临 RCE 攻击 船山信安 2024-05-06 00:00 HPE Aruba Networking(以前称为 Aruba Networks)已发布安全更新,以解决影响 ArubaOS 的严重缺陷,这些缺陷可能导致受影响系统上的远程代码执行 (RCE)。 在 10 个安全缺陷中,有 4 个严重程度被评为严重性严重 – – CVE-
继续阅读用友crm客户关系管理pub/downloadfile.php接口存在任意文件读取漏洞
用友crm客户关系管理pub/downloadfile.php接口存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-05-05 23:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友crm客户关系管理简介 微信公众号
继续阅读代码审计-某产品高清智能录播系统漏洞分析附未公开POC
代码审计-某产品高清智能录播系统漏洞分析附未公开POC 实战安全研究 2024-05-05 22:39 最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法: 给公众号设为星标 本文来自团队小伙伴:c3ting 博客地址 https://c3ting.com fofa: app="Ncast-产品" && title=="高清智能
继续阅读CVE-2023-4427:ReduceJSLoadPropertyWithEnumeratedKey 中的越界访问
CVE-2023-4427:ReduceJSLoadPropertyWithEnumeratedKey 中的越界访问 XiaozaYa 看雪学苑 2024-05-05 17:59 之前分析调试漏洞时,几乎都是对着别人的poc/exp 调试,感觉对自己的提升不是很大,所以后面分析漏洞时尽可能全面分析,从漏洞产生原理、如何稳定触发进行探索,并尝试自己写poc/exp。 diff.patch 如下: 最
继续阅读YzmCMS pay_callback.html RCE漏洞
YzmCMS pay_callback.html RCE漏洞 lcyunkong 贫僧法号云空 2024-05-05 12:01 0x00 阅读须知 免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。 0x01
继续阅读【漏洞复现】CVE-2024-1512
【漏洞复现】CVE-2024-1512 原创 漏洞文库 漏洞文库 2024-05-05 10:13 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息
继续阅读【漏洞复现】CVE-2024-1698
【漏洞复现】CVE-2024-1698 原创 漏洞文库 漏洞文库 2024-05-05 10:13 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息
继续阅读[漏洞复现] CVE-2024-33786 中城科信票务管理平台 任意文件上传
[漏洞复现] CVE-2024-33786 中城科信票务管理平台 任意文件上传 原创 不够安全 不够安全 2024-05-05 09:00 本人非原创漏洞作者,文章仅作为知识分享用 一切直接或间接由于本文所造成的后果与本人无关 如有侵权,联系删除 系统简介 基础六管控多协同,智慧票务系统以私有/公有云为基础部署,提供票类策略管控、售票流程管控、门票核验管控、营销渠道管控、数据分析管控、财务核销管控
继续阅读物联网安全篇——Sapido RB-1732路由器命令执行漏洞
物联网安全篇——Sapido RB-1732路由器命令执行漏洞 原创 SNL团队内部文章 SecNL安全团队 2024-05-04 20:19 Sapido RB-1732路由器命令执行漏洞复现 0x01 漏洞介绍 Sapido 是 SAPIDO 公司开发的一款家用路由器,其 RB-1732 系列 v2.0.43 之前的固件版本存在一处命令执行漏洞。所谓命令执行漏洞,是指服务器没有对执行的命令进行
继续阅读【漏洞复现】kkFileView任意文件上传漏洞(QVD-2024-14703)
【漏洞复现】kkFileView任意文件上传漏洞(QVD-2024-14703) 紫色皓月 皓月的笔记本 2024-05-04 20:00 声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。 0X01 简介 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx
继续阅读