漏洞预警 | 若依druid未授权访问漏洞
漏洞预警 | 若依druid未授权访问漏洞 浅安 浅安安全 2024-05-01 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 若依框架是一款基于Spring Boot、Spring Cloud、OAuth2与JWT鉴权等核心技术的快速开发平台。它支持多种安全框架和持久化框架,并采用前后端分离的模式进行开发,具备高度的灵活性
继续阅读标签: 代码
一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测
一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-05-01 00:01 0x01 工具介绍 攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该Burp插件我们可以: 1 、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证
继续阅读【漏洞预警】onethink安全漏洞(CVE-2024-33443)
【漏洞预警】onethink安全漏洞(CVE-2024-33443) cexlife 飓风网络安全 2024-04-30 22:58 漏洞描述: оnеthinkv.1.1中的一个问题允许远程攻击者通过精心制作的脚本对AddоnѕCоntrоllеr.сlаѕѕ.php组件执行任意代码。 poc: POST /admin.php?s=/Addons/build.html HTTP/1.1Host:
继续阅读G.O.S.S.I.P 资源分享 2024-04-30 EXPLOIT.EDUCATION
G.O.S.S.I.P 资源分享 2024-04-30 EXPLOIT.EDUCATION G.O.S.S.I.P 安全研究GoSSIP 2024-04-30 21:28 四月最后一天了,推荐个入门的安全资源——EXPLOIT.EDUCATION 就是把一些基础的exploit课程和练习整理成了VM,大家可以下载了开箱即用 推荐理由:只是觉得 https://exploit.education 这
继续阅读研究人员发布了 Windows 内核 EoP 漏洞的 PoC 漏洞 (CVE-2024-26218)
研究人员发布了 Windows 内核 EoP 漏洞的 PoC 漏洞 (CVE-2024-26218) Ots安全 2024-04-30 20:23 网络安全研究员 Gabe Kirkpatrick 分享了影响Windows 内核的高严重性特权提升漏洞( CVE-2024-26218 ) 错误的技术细节和概念验证 (PoC) 漏洞代码。 微软于 4 月 9 日(本月的补丁星期二)发布了安全更新,以在
继续阅读【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】
【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】 原创 xiaocaiji 网安鲲为帝 2024-04-30 19:43 0x00免责声明 ! 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。 0x01 漏洞描述 ! 随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户
继续阅读R语言中的新漏洞可导致项目易受供应链攻击
R语言中的新漏洞可导致项目易受供应链攻击 THN 代码卫士 2024-04-30 16:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 R编程语言中存在一个漏洞,可被威胁行动者用于创建一个恶意RDS(R数据序列化)文件,从而在加载和引用时导致代码执行后果。 AI应用安全公司 HiddenLayer 在报告中提到,该漏洞的编号是CVE-2024-27322,“涉及使用R中的 promis
继续阅读开源的Judge0 中存在多个沙箱逃逸漏洞,可导致系统遭完全接管
开源的Judge0 中存在多个沙箱逃逸漏洞,可导致系统遭完全接管 THN 代码卫士 2024-04-30 16:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的在线代码执行系统中存在三个严重漏洞,可用于在目标系统上执行代码。 澳大利亚网络安全公司 Tanto 在报告中提到,这三个漏洞都属于严重级别,可导致“具有充分访问权限的对手执行沙箱逃逸并获得主机机器的 root 权限。” J
继续阅读利用微软office七年漏洞!乌克兰遭网络攻击
利用微软office七年漏洞!乌克兰遭网络攻击 网络安全应急技术国家工程中心 2024-04-30 16:09 摘要 网络安全研究人员发现,这次针对乌克兰的行动利用了微软Office中一个近七年的漏洞,将Cobalt Strike传送到被攻击的系统上。 这次攻击链在2023年底发生,据Deep Instinct公司称,攻击者使用了一个PowerPoint幻灯片文件(“signal-20
继续阅读上周关注度较高的产品安全漏洞(20240422-20240428)
上周关注度较高的产品安全漏洞(20240422-20240428) 国家互联网应急中心CNCERT 2024-04-30 09:25 一、境外厂商产品漏洞 1、Linux Kernel存在拒绝服务漏洞(CNVD-2024-17902) Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel存在拒绝服务漏洞,攻击者可利用该漏洞进行拒绝服务攻击。
继续阅读用友NC grouptemplet 任意文件上传漏洞
用友NC grouptemplet 任意文件上传漏洞 原创 fgz AI与网安 2024-04-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 次条通常是广告,内容我也没验证,感兴趣的自行验证,不感兴趣的忽略。 01 — 漏洞名称 用友NC grou
继续阅读03-Git信息泄露及其漏洞利用
03-Git信息泄露及其漏洞利用 原创 simeon的文章 小兵搞安全 2024-04-29 06:37 1.1 Git信息泄露及其漏洞利用 Git是由林纳斯·托瓦兹(Linus Torvalds)命名的,它来自英国俚语,意思是“混账”,Git是一个分布式版本控制软件,最初由林纳斯·托瓦兹(Linus Torvalds)创作,于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计
继续阅读Primeton EOS Platform jmx反序列化远程代码执行
Primeton EOS Platform jmx反序列化远程代码执行 原创 SXdysq 南街老友 2024-04-28 21:20 漏洞描述 Primeton EOS Platform是一个由普元科技开发的企业级应用软件平台,旨在提供数字化转型、数据管理和流程优化的解决方案。 普元EOS某接口开启了JMX over HTTP功能,且未对反序列化数据进行充分的安全检查和限制。 漏洞描述 攻击者通
继续阅读一个25,000的RCE
一个25,000的RCE 迪哥讲事 2024-04-28 20:50 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 目录 简介背景介绍选择目标准备与设置开始‘狩猎’RCE 利用继续尝试发生了什
继续阅读漏洞挖掘 | 记某SRC邀请处逻辑越权到组织管理员漏洞
漏洞挖掘 | 记某SRC邀请处逻辑越权到组织管理员漏洞 渗透安全团队 2024-04-28 20:00 前言 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 1.在挖掘某src漏洞时候信息收集的时候收集到某小程序 该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的 这里我们准备两个测试账号(A和B) 2.我们登录进去该小程序,按照正常步骤流程注册个公司账户对该小程序进行试
继续阅读Tomcat综合漏洞利用 | 工具
Tomcat综合漏洞利用 | 工具 errors11 渗透安全团队 2024-04-28 20:00 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 01 工具介绍 PUT文件上传 ajp协议漏洞 默认读取web.xml文件,漏洞利用方式是通过web.xml文件读取其中的class文件到本地 弱口令检测 02 下载 翻到文章最底部点击“阅读原文”下载链接 ★ 付费圈子 欢 迎 加
继续阅读firebase:一款功能强大的Firebase数据库安全漏洞与错误配置检测工具
firebase:一款功能强大的Firebase数据库安全漏洞与错误配置检测工具 FreeBuf 2024-04-28 19:01 关于firebase firebase是一款针对Firebase数据库的安全工具,该工具基于Python 3开发,可以帮助广大研究人员针对目标Firebase数据库执行安全漏洞扫描、漏洞测试和错误配置检测等任务。 该工具专为红队研究人员设计,请在获得授权许可后再进行安
继续阅读GPT- 4 会自己发起漏洞攻击,成功率高达87%
GPT- 4 会自己发起漏洞攻击,成功率高达87% 天融信教育 2024-04-28 17:32 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需 要阅读CVE漏洞描述,GPT- 4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT- 4、GPT- 3.5在内的10个AI大模型进行实验,结果发现只有GPT
继续阅读【更新版】Tomcat漏洞利用工具
【更新版】Tomcat漏洞利用工具 errors11 信安404 2024-04-27 23:08 点击上方 蓝字关注我们 免责声明: 请使用者遵守《中华人民共和国网络安全法》,由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。 简介 Tomcat漏洞利用工具 使用 put文件上传 ajp协议漏洞 默认读取web.xml文件
继续阅读在看 | 周报:国产输入法曝重大漏洞;支付1.5亿赎金仍被泄露数据
在看 | 周报:国产输入法曝重大漏洞;支付1.5亿赎金仍被泄露数据 原创 管窥蠡测 安在 2024-04-27 17:52 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、交通银行App崩了一度冲上热搜! 2、全国首例AI声音侵权案一审宣判 声音被AI化出售获赔25万元 4月23日上午,北京互联网法院对全国首例“AI声音
继续阅读安全情报,X达OA down.php 存在信息泄露漏洞!!!
安全情报,X达OA down.php 存在信息泄露漏洞!!! 原创 Ax 极星信安 2024-04-27 17:46 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载,如需转载,请联系作者!!!! 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!!!!! 漏洞介绍 通达OA(Office Anywh
继续阅读Swagger API Exploit 1.1
Swagger API Exploit 1.1 星冥安全 星冥安全 2024-04-27 15:14 这是一个 Swagger REST API 信息泄露利用工具。主要功能有: – 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用
继续阅读CVE-2022-42920 BCEL 任意文件写漏洞
CVE-2022-42920 BCEL 任意文件写漏洞 系统安全运维 2024-04-27 14:54 前言 Apache Commons BCEL旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java 类文件(以 .class 结尾的文件)。类由包含给定类的所有符号信息的对象表示:特别是方法、字段和字节码指令。 这些对象可以从现有文件中读取,由程序(例如运行时的类加载器)转换并再次写入
继续阅读高JDK的JNDI绕过之复现某比赛0解题
高JDK的JNDI绕过之复现某比赛0解题 Zjacky 白帽子左一 2024-04-27 12:04 扫码领资料 获网安教程 前言 本篇文章首发在先知社区 作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13793 诶呀这玩意学了蛮久了真的,离大谱,各种事故各种坑点,不过结果还算好都弄清楚了,记录下顺便分享两个CTF案例来进行加
继续阅读输入法重大漏洞曝光,近10亿用户受影响
输入法重大漏洞曝光,近10亿用户受影响 小薯条 掌控安全EDU 2024-04-27 12:01 扫码领资料 获网安教程 近 原文地址:https://mp.weixin.qq.com/s/c8KT4GOku_YENhcfUsQ4HQ 近日,Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称:除华为以外,百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应
继续阅读漏洞扫描系统 — 临兵
漏洞扫描系统 — 临兵 LemonSec 2024-04-27 10:27 0x01 工具介绍 本系统是对Web中间件和Web框架进行自动化渗透的一个系统,根据扫描选项去自动化收集资产,然后进行POC扫描,POC扫描时会根据指纹选择POC插件去扫描,POC插件扫描用异步方式扫描.前端采用vue技术,后端采用python fastapi。 0x02 安装与使用 1、Do c ker部 署
继续阅读FreeBuf 周报 | 乌克兰关基设施被破坏;GPT-4 会自己发起漏洞攻击
FreeBuf 周报 | 乌克兰关基设施被破坏;GPT-4 会自己发起漏洞攻击 疯狂冰淇淋 FreeBuf 2024-04-27 09:30 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. Palo Alto Networks披露PAN-OS防火墙「满分」漏洞细节 近日,Pa
继续阅读MetaHub:一款针对漏洞管理的自动化安全上下文信息扩充与影响评估工具
MetaHub:一款针对漏洞管理的自动化安全上下文信息扩充与影响评估工具 Alpha_h4ck FreeBuf 2024-04-27 09:30 MetaHub是一款针对漏洞管理的自动化安全上下文信息扩充与影响评估工具,该工具支持与AWS Security Hub或任何与ASFF兼容的安全扫描仪一起使用。 在该工具的帮助下,广大研究人员可以完善漏洞管理工作流,并根据当前安全上下文来扩充安全分析信息
继续阅读MM-Wiki 文档管理器未授权访问漏洞(附POC)
MM-Wiki 文档管理器未授权访问漏洞(附POC) 原创 BeiZhe SheYin 2024-04-27 09:00 免责声明: 本公众号的技术文章来仅供参考,如需转载,请联系公众号。 未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作, 如因此产生的一切不良后果与文章作者和本公众号无关。 本文所提供的工具仅用于学习。 关注公众号回复 edusrc 获 取邀请码 0x01 前言 MM
继续阅读