【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击
【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击 安全圈 2024-01-20 19:01 关键词 黑客攻击 在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛
继续阅读标签: 代码
因 API 的错误配置导致 PII 泄漏漏洞
因 API 的错误配置导致 PII 泄漏漏洞 dandh811 薯条机器猫 2024-01-20 18:51 PII 指个人身份信息(Personally identifiable information) 假定被测目标为:example.com 1. 初步枚举 一旦找到一个我觉得有趣的子域名,dirsearch 就是我立即使用的工具——它是我最喜欢的目录暴力破解工具之一。它的速度非常快,并且使用
继续阅读如何拿抓取互联网上的0day???
如何拿抓取互联网上的0day??? 原创 ChinaRan404 知攻善防实验室 2024-01-20 15:28 关注本公众号,长期推送技术文章 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 前言 互联网上每天各种公众号都会发布一些漏
继续阅读Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年
Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年 军哥网络安全读报 2024-01-20 09:01 导读 至少自 2021 年底以来,一个某国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为 0day 漏洞攻击。 该漏洞已于去年 10 月得到修复,VMware本周三确认( https://www.bleepi
继续阅读GB-T 34946-2017 C#语言源代码漏洞测试规范
GB-T 34946-2017 C#语言源代码漏洞测试规范 原创 等保与关保 网络安全等保与关保 2024-01-20 09:00 点击上方蓝色“网络安全等保与关保”,关注公众号,回复“ 34946 ”或“ C#语言源代码漏洞测试规范 ” 获取该标准pdf版资料。 今日分享 标准规范 GB-T 34946-2017 C#语言源代码漏洞测试规范 标准封面 标准简介 C 语言是一种面向对象的、运行于.
继续阅读CVE-2024-0519:Google Chrome V8越界访问漏洞通告
CVE-2024-0519:Google Chrome V8越界访问漏洞通告 原创 360CERT 三六零CERT 2024-01-17 19:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-647 报告来源:360CERT 报告作者:360CERT 更新日期:2024-01-17 1 漏洞简述 2024年01月17日,360CERT监测发现Google发布了Chrome f
继续阅读Citrix 提醒注意已遭利用的两个 NetScaler 0day 漏洞
Citrix 提醒注意已遭利用的两个 NetScaler 0day 漏洞 Sergiu Gatlan 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,Citrix 督促客户立即修复影响 NetScaler ADC 和 Gateway 设备的两个已遭利用 0day 漏洞(CVE-2023-6548和CVE-2023-6549)。 这两
继续阅读Opera 文件共享特性中存在RCE漏洞
Opera 文件共享特性中存在RCE漏洞 Ionut Arghire 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Guardio Labs 发布报告指出,用于设备之间共享文件的 Opera 浏览器特性中存在一个漏洞,可导致 RCE 后果。 受影响的特性 My Flow 允许用户仅使用 Opera 的移动应用扫描一个 QR码就轻松在桌面和移动设备
继续阅读Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告
Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8越界访问漏洞 漏洞编号 QVD-2024-2834,CVE-2024-0519 公开时间 2024-01-16 影响量级 千万级 奇安信评级 高危 CVSS 3
继续阅读NetScaler ADC 和 NetScaler Gateway 多个在野漏洞安全风险通告
NetScaler ADC 和 NetScaler Gateway 多个在野漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway 多个在野漏洞 漏洞编号 CVE-2023-6548,CVE-2023-6549 公开时间 2024-01-17 影响量级
继续阅读Oracle 2024年1月补丁日多产品高危漏洞安全风险通告
Oracle 2024年1月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-01-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读立即更新!GitLab曝满分零点击账户劫持漏洞
立即更新!GitLab曝满分零点击账户劫持漏洞 看雪学苑 看雪学苑 2024-01-15 17:59 1月11日,GitLab发布了一个紧急安全更新,以修复一个CVSS评分10分的零点击账户劫持漏洞。攻击者能够通过密码重置接管受害者账户,并且无需任何用户交互。 据了解,这是 GitLab CE/EE中的一个认证问题,影响从16.1到16.1.6、16.2到16.2.9、16.3到16.3.7、16
继续阅读GitLab 提醒注意严重的零点击账户劫持漏洞
GitLab 提醒注意严重的零点击账户劫持漏洞 Bill Toulas 代码卫士 2024-01-15 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 GitLab 发布社区版和企业版的安全更新,修复了两个漏洞,其中一个在无需用户交互的情况下可劫持账户。 GitLab 强烈建议用户尽快更新所有的 DevSecOps 平台易受版本(自托管安装需要手动更新),并提醒称,如果没
继续阅读Juniper 提醒注意防火墙和交换机中的严重RCE漏洞
Juniper 提醒注意防火墙和交换机中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-01-15 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Juniper Networks 公司发布安全更新,修复了位于 SRX 系列防火墙和EX系列交换机中的一个严重的预认证RCE漏洞 CVE-2024-21591。 该漏洞位于设备的 J-Web 配置接口中,可被未认证攻
继续阅读思科又曝高危漏洞,黑客利用可获取 root 权限
思科又曝高危漏洞,黑客利用可获取 root 权限 网络安全应急技术国家工程中心 2024-01-15 14:55 近日,思科修补了一个关键的 Unity Connection 安全漏洞,该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、C
继续阅读ByteCodeDL能找到log4shell(CVE-2021-44228)漏洞吗
ByteCodeDL能找到log4shell(CVE-2021-44228)漏洞吗 船山信安 2024-01-15 00:01 TL;DR 本文介绍了尝试使用ByteCodeDL、ByteCodeDL-PathFinder、ByteCodeDL-Neo4j-IDEA-Plugin 这些工具去复现log4shell漏洞的挖掘过程。 本文会尝试解决下面几个问题: 1. 节点过多,查不出路径怎么办? 查
继续阅读漏洞扫描VS渗透测试
漏洞扫描VS渗透测试 原创 铸盾安全 河南等级保护测评 2024-01-15 00:00 随着网络攻击变得越来越复杂 ,企业需要投资更强大的安全解决方案,例如漏洞评估 和渗透测试 ,以保护其数据、声誉和收入。 漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻击以利用弱点,以证明网络安全的有效性。主要区别在于,漏洞扫描用于防御性和进攻性网络安全策略,而渗透测试
继续阅读某OA系统快速代码审计(0day)
某OA系统快速代码审计(0day) 探幽安全 2024-01-14 23:45 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 再一次寻找源码的过程当中,从某网盘搜索到了一个某OA系统,对此进行了一个快速代码审计。 0x01 审计过程 还是一如既往,快速定位出鉴权函数或
继续阅读实战 | 奇怪的万能密码登录漏洞
实战 | 奇怪的万能密码登录漏洞 渗透安全团队 2024-01-14 21:25 前言 打的站点打多了,什么奇怪的问题都会发生 打点 开局一个登录框 用户枚举到账号爆破 测了一下,没发现admin的弱口令,但是发现存在用户枚举漏洞,因此准备跑一下账号 输入密码为123456 进行账号爆破 成功爆破出账号 à 是的,你没看错,就是à,经过测试发现任意密码都可以 登录 尝试利用账号à进行登录,发现是失
继续阅读【漏洞情报 | 新】用友GRP-U8 ufgovbank XXE漏洞
【漏洞情报 | 新】用友GRP-U8 ufgovbank XXE漏洞 原创 4Zen 划水但不摆烂 2024-01-14 19:02 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 用友GRP-U8是一款企业级的综合管理软件,主要用于财务、人力资源、供应链、生产制造等多个领
继续阅读最新Invicti Professional v24.12漏洞扫描器下载
最新Invicti Professional v24.12漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-01-14 16:29 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款商业 Web
继续阅读CVE-2023-7028 GitLab Account Takeover漏洞分析
CVE-2023-7028 GitLab Account Takeover漏洞分析 原创 chestnut 闲聊趣说 2024-01-14 10:45 前言 没学过ruby代码,其语法和C like语言差的很多,只能通过AI辅助分析,大概也看懂了,喜欢这个文章的话点个赞支持一下。 基本信息 Gitlab中可以通过重置密码接口发送恶意请求,当已知注册邮箱且开启邮箱登录时,攻击者可以获取到重置密码链接
继续阅读【python专题】poc编写过程万能正则获取字符串
【python专题】poc编写过程万能正则获取字符串 原创 南极熊 SCA御盾 2024-01-14 09:44 星球介绍 SCA御盾星球介绍详情请访问如下链接: SCA御盾星球介绍 0x01 阅读须知 SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利
继续阅读Nacos漏洞综合利用GUI工具
Nacos漏洞综合利用GUI工具 黑白之道 2024-01-14 08:54 前言 本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。 工具使用说明(v3.4版本) 漏洞检测 漏洞检测支持非常规路径的检查,比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/na
继续阅读GitLab任意用户密码重置漏洞验证脚本 CVE-2023-7028
GitLab任意用户密码重置漏洞验证脚本 CVE-2023-7028 SecHaven 赛哈文 2024-01-14 08:53 脚本使用方法一: python3 CVE-2023-7028.py -u https://gitlab.example.com -t [email protected] 脚本使用方法二: python3 CVE-2023-7028.py -u https:/
继续阅读afrog漏洞检测工具的官方PoCs库(1月6日更新)
afrog漏洞检测工具的官方PoCs库(1月6日更新) zan8in 黑客白帽子 2024-01-14 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 afrog-pocs 是 afrog 漏洞检测工具的官方 PoCs(Proof of Concepts)库。这个开源项目旨在为安全研
继续阅读[漏洞复现]CVE-2024-21645
[漏洞复现]CVE-2024-21645 原创 fgz AI与网安 2024-01-14 00:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 pyload日志注入漏洞 02 — 漏洞影响 pyload-ng < 0.5.0b3.dev
继续阅读Eyoucms的sql注入复现(2019Bversion)
Eyoucms的sql注入复现(2019Bversion) 船山信安 2024-01-14 00:00 本cms的漏洞已经提交过cnvd已修复了。更新到最新版本即可0x01 漏洞复现这里我是本地搭建的eyoucms环境演示默认安装完成后,我先是访问如下urlhttp://127.0.0.1:8081/eyoucms/?m=home&c=View&a=index&aid=89
继续阅读【安全圈】微软 SharePoint 被曝严重漏洞,黑客可远程执行任意命令
【安全圈】微软 SharePoint 被曝严重漏洞,黑客可远程执行任意命令 安全圈 2024-01-13 19:00 关键词 黑客攻击 美国网络安全和基础设施安全局(CISA)最近发布了一项警告,根据现有证据,黑客正利用微软SharePoint中的提权漏洞,与另一个被评定为“关键”级别的漏洞相结合,从而能够远程执行任意命令。 这一漏洞的标识号为CVE-2023-29357,它允许远程攻击者使用虚假
继续阅读【二次更新】Gitlab 任意用户密码重置漏洞(CVE-2023-51467)风险通告
【二次更新】Gitlab 任意用户密码重置漏洞(CVE-2023-51467)风险通告 安恒研究院 安恒信息CERT 2024-01-13 16:10 漏洞概述 漏洞名称 Gitlab 存在任意用户密码重置漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 CVE-2023-7028 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-202312
继续阅读