【安全圈】未定期检查网站安全,存在安全漏洞,新乡3家公司被罚!
【安全圈】未定期检查网站安全,存在安全漏洞,新乡3家公司被罚! 安全圈 2024-03-05 19:01 关键词 网络安全 近期,河南新乡市公安局网安部门加大对网络运营者不履行网络安全保护义务违法行为的打击力度,切实压紧压实属地互联网平台企业的主体责任,对不落实网络安全等级保护制度,未履行安全保护义务的多家企业依法给予了行政处罚。 1、封丘县某电子衡器有限公司门户网站存在HTML信息泄露和Sour
继续阅读标签: 代码
漏洞挖掘|轻松挖掘某企业某友系统的多个漏洞
漏洞挖掘|轻松挖掘某企业某友系统的多个漏洞 原创 爱州 州弟学安全 2024-03-05 18:59 0x01 前言 在某天我打点CNVD资产的时候,我的WX响了起来,收到一个不明文件,后面收到备注后,我就懂了 筛选后找一下对应企业的资产信息,资产并不多,主页和OA以及yongyou NC,OA为最新版,但是NC很眼熟,给人一种有着成熟洞的感觉 发现的几个漏洞都是历史漏洞,对于个人技术而言没有什么
继续阅读【EXP公开】JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)安全风险通告
【EXP公开】JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-03-05 18:08 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JetBrains TeamCity 身份验证绕过漏洞 漏洞编号 QVD-2024-8442,CVE-2024-27198 公开时间 2024
继续阅读更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名
更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名 看雪课程 看雪学苑 2024-03-05 17:59 通知:录播课更新- 6.1 实战挖掘内核漏洞 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学
继续阅读速修复!TeamCity中存在两个严重的漏洞,可触发供应链攻击
速修复!TeamCity中存在两个严重的漏洞,可触发供应链攻击 Zeljka Zorz 代码卫士 2024-03-05 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 JetBrians 修复了影响 TeamCity本地版的两个严重漏洞(CVE-2024-27198和CVE-2024-27199),督促客户立即打补丁。 JetBrians 公司表示,“Rapid7 公司最初发现并
继续阅读上周关注度较高的产品安全漏洞(20240226-20240303)
上周关注度较高的产品安全漏洞(20240226-20240303) 国家互联网应急中心CNCERT 2024-03-05 14:39 一、境外厂商产品漏洞 1、 Mozilla Firefox拒绝服务漏洞(CNVD-2024-10435) Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在拒绝服务漏洞,该漏洞是由于在macOS上应用更
继续阅读【漏洞新情报 | 附POC】蓝凌EIS智慧协同平台SQL注入
【漏洞新情报 | 附POC】蓝凌EIS智慧协同平台SQL注入 原创 4Zen 划水但不摆烂 2024-03-04 01:37 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 蓝凌EIS智慧协同平台现集合了非常丰富的模块,满足组织企业在知识,协同,项目管理系统建设等需求。 漏
继续阅读跨平台漏洞扫描器 — EZ(2月29日更新)
跨平台漏洞扫描器 — EZ(2月29日更新) m-sec-org Web安全工具库 2024-03-04 00:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞 附POC软件
蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-03 23:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌
继续阅读Windows 零日漏洞正被黑客利用,以此获得内核权限
Windows 零日漏洞正被黑客利用,以此获得内核权限 网安百色 2024-03-03 19:31 被称为 Lazarus Group 的朝鲜威胁行为者利用 Windows AppLocker 驱动程序 (appid.sys) 中的漏洞作为零日漏洞来获取内核级访问权限并关闭安全工具,从而绕过嘈杂的 BYOVD(自带易受攻击的驱动程序)技术。 Avast 分析师检测到此活动,他们立即将其报告给 Mi
继续阅读CVE-2023-42942:xpcroleaccountd Root 权限升级
CVE-2023-42942:xpcroleaccountd Root 权限升级 Ots安全 2024-03-03 17:21 大约两周前,苹果 在 安全通报中发布了CVE-2023-42942 。 这是系统服务xpcroleaccountd 中存在的竞争条件问题,可利用该问题进行 root 权限提升。 今天,我将分享详细信息。 关于 xpcroleaccountd 系统服务/usr/libexe
继续阅读CVE-2024-25419
CVE-2024-25419 原创 fgz AI与网安 2024-03-03 10:48 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 flusity-2.33 CSRF漏洞 02 — CSRF漏洞原理 终于遇到一个热乎的CSRF漏洞,虽然覆盖面
继续阅读一款集成高危漏洞exp的实用性工具
一款集成高危漏洞exp的实用性工具 黑白之道 2024-03-03 09:19 Exp-Tools 介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了用友、泛微、通达、致远、帆软报表、万户、蓝凌、红帆、金和、华天动力总共10个OA。全部是命
继续阅读Spring漏洞综合利用工具
Spring漏洞综合利用工具 savior-only 系统安全运维 2024-03-03 09:01 Spring_All_Reachable TODO Spring Core RCE 支持更多类型内存马 支持内存马密码修改 …….. 使用方法 Spring Cloud Gateway命令执行(CVE-2022-22947) 漏洞描述 Spring Cloud Gatewa
继续阅读CVE-2024-23897 Jenkins 未授权任意文件读取漏洞分析
CVE-2024-23897 Jenkins 未授权任意文件读取漏洞分析 Drunkbaby 黑客白帽子 2024-03-03 08:02 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ CVE-2024-23897 Jenkins 未授权任意文件读取 漏洞描述 Jenkins 是基于 Java 开发的一种持续集成
继续阅读漏洞没预测对,老板奖励我重新预测
漏洞没预测对,老板奖励我重新预测 听风安全 2024-03-02 13:52 免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把听风安全设为星标,否则可能就看不到啦!R
继续阅读五眼联盟警告:Ivanti网关漏洞已被攻击
五眼联盟警告:Ivanti网关漏洞已被攻击 THN 知机安全 2024-03-02 11:15 The Five Eyes (FVEY) intelligence alliance has issued a new cybersecurity advisory warning of cyber threat actors exploiting known security flaws in Iva
继续阅读2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘Java系统漏洞。
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘Java系统漏洞。 闪石星曜安全团队 WebSec 2024-03-02 10:00 成长与学习 是个自知的事情 00 课程简介 由【闪石星曜CyberSecurity】云渡师傅出品的《Java代码审计零基础到实战》的线上培训课程,终于上线了! 还不会 Java 代码审计?那就别着急划走,花两分钟看看,这正是你所需要的! 在这逆境之中,
继续阅读FreeBuf 周报 | 新WiFi漏洞或影响23亿用户;NIST发布网络安全框架2.0版本
FreeBuf 周报 | 新WiFi漏洞或影响23亿用户;NIST发布网络安全框架2.0版本 小王斯基 FreeBuf 2024-03-02 09:30 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. SendGrid 最新网络钓鱼活动正在“瞄准”中小型企业 卡巴斯基的网络安
继续阅读.NET 某开源组件反序列化漏洞
.NET 某开源组件反序列化漏洞 dotNet安全矩阵 2024-03-02 08:25 02 欢迎加入我们的知识库 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 只需199元就可以加入我
继续阅读漏洞预警 | 用友U8Cloud SQL注入漏洞
漏洞预警 | 用友U8Cloud SQL注入漏洞 浅安 浅安安全 2024-03-02 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8 cloud是一款集成的企业资源计划解决方案,旨在帮助不断发展的企业同步前后端业务功能。 0x03 漏洞详情 漏洞类型: SQL漏洞 影响: 获取敏感信息 简述: 用友U8Cloud
继续阅读漏洞预警 | 蓝凌OA SQL注入漏洞
漏洞预警 | 蓝凌OA SQL注入漏洞 浅安 浅安安全 2024-03-02 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 蓝凌OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 蓝凌OA wechatLoginHelpe
继续阅读Springblade JWT身份伪造漏洞与SQL注入解析
Springblade JWT身份伪造漏洞与SQL注入解析 原创 chobits02 C4安全团队 2024-03-02 01:04 springblade框架(又称为BladeX)是基于spring微服务二次开发的框架,广泛应用于java后端的开发中,比如哈尔滨新中新公司的慧新e校系统就是基于springblade开发的。 1.JWT身份伪造解析 springblade有个jwt加密signke
继续阅读还在学怎么挖通用漏洞吗?一天打10个~
还在学怎么挖通用漏洞吗?一天打10个~ 不秃头的安全 不秃头的安全 2024-03-02 00:00 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 还在学怎么挖通用漏洞吗?快来加入星球~下方有优惠卷 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 一、最近好多公众号私信,觉得qq群不方便,需要vx群,甚至很多人加上
继续阅读华天动力OA8000办公系统ntkodownload.jsp存在任意文件读取漏洞 附POC软件
华天动力OA8000办公系统ntkodownload.jsp存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-01 23:24 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 华天动力OA8000办公系统n
继续阅读甲方让我复现SQL注入绕过复现….我懵了…….
甲方让我复现SQL注入绕过复现….我懵了……. 渗透安全团队 2024-03-01 22:42 前言 开始复现 发现一处站点存在废弃的登录框,于是抓包想找一下登录接口有没有什么洞 登录处抓包发现单引号会报错,出现了sql语句 尝试基本的联合注入1’union select 1,2,3# 发现select被过滤了,尝试双写绕过一下1’union selselect
继续阅读【漏洞预警】Apache Ambari 命令注入漏洞(CVE-2023-50379)
【漏洞预警】Apache Ambari 命令注入漏洞(CVE-2023-50379) cexlife 飓风网络安全 2024-03-01 19:30 漏洞描述:2.7.8之前的Apache Ambari中存在恶意代码注入导致RCE修复建议:建议用户升级到2.7.8版本,该版本修复了此问题参考链接:http://www.openwall.com/lists/oss-security/2024/02/
继续阅读【漏洞预警】Dataease jdbc 反序列化漏洞CVE-2024-23328
【漏洞预警】Dataease jdbc 反序列化漏洞CVE-2024-23328 cexlife 飓风网络安全 2024-03-01 19:30 漏洞描述: Dataease是一款开源的数据可视化分析工具,受影响版本中,由于未对用户输入的数据库连接参数做有效过滤,具有Dataease登陆权限的攻击者可通过使用URL编码jdbc url中的 autoDeserialize、allowUrlInLoc
继续阅读【安全圈】Windows 零日漏洞正被黑客利用,以此获得内核权限
【安全圈】Windows 零日漏洞正被黑客利用,以此获得内核权限 安全圈 2024-03-01 19:01 关键词 安全漏洞 被称为 Lazarus Group 的朝鲜威胁行为者利用 Windows AppLocker 驱动程序 (appid.sys) 中的漏洞作为零日漏洞来获取内核级访问权限并关闭安全工具,从而绕过嘈杂的 BYOVD(自带易受攻击的驱动程序)技术。 Avast 分析师检测到此活动
继续阅读