标签: 代码

安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析

发布于 作者:

安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析 原创 云鼎实验室 云鼎实验室 2023-12-18 16:32 漏洞描述 2023年12月15日,Apache 官方发布安全通告,披露了其 Dubbo 存在反序列化漏洞,漏洞编号CVE-2023-29234。 Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,

继续阅读

二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read

发布于 作者:

二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read 原创 haidragon 安全狗的自我修养 2023-12-17 21:04 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB 

继续阅读

【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用

发布于 作者:

【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用 安全圈 2023-12-17 19:01 关键词 恶意软件 一个名为 “InfectedSlurs” 的基于 Mirai 的僵尸网络正在利用 QNAP VioStor NVR (网络录像机)设备中的远程代码执行 (RCE) 漏洞来劫持并使它们成为其 DDoS (分布式拒绝服务)群的一部分。 该僵尸网络由 Akamai 的安全情报响应团

继续阅读

S2-032远程代码执行漏洞(CVE-2016-3081)

发布于 作者:

S2-032远程代码执行漏洞(CVE-2016-3081) 巢安实验室 巢安实验室 2023-12-17 17:30 漏洞简介 S2-032漏洞是一种影响Apache Struts web应用程序框架的远程代码执行(RCE)漏洞。此漏洞允许攻击者通过发送特制的HTTP请求在服务器上执行任意代码。这可能被利用来获得对服务器的未经授权的访问,从而可能导致系统的完全破坏。 影响版本 2.3.20 &lt

继续阅读

Android App半自动化静态漏洞挖掘技术分析

发布于 作者:

Android App半自动化静态漏洞挖掘技术分析 ADLab 白帽子左一 2023-12-17 12:00 扫码领资料 获网安教程 免费&进群 一、前言 在Android应用层安全研究领域,研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面,对手机厂商上千款的预置App开展批量的漏洞挖掘时,短时间内很难产出结果,漏洞挖掘效率低。 在2021年7月上旬,启明星辰ADLab

继续阅读

Nuclei脚本:专注于检测WordPress漏洞

发布于 作者:

Nuclei脚本:专注于检测WordPress漏洞 网络安全交流圈 青澜安全团队 2023-12-17 11:10 该项目供应丰富、全新的 Nuclei 模板集,专为检测 WordPress 的漏洞设计。这些模板都基于 Wordfence.com 的漏洞报告,构成了对任何需要扫描 WordPress 网站漏洞的人的重要资源。这些易于使用的模板不仅保持最新,还是开源的,允许您自行修改以适应特定需求。

继续阅读

Logbase思迪福堡垒机漏洞分析

发布于 作者:

Logbase思迪福堡垒机漏洞分析 WK安全 2023-12-17 09:52 赛 博大作战中的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。 利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他! ! ! 1

继续阅读

Shiro从入门到权限绕过漏洞1(保姆笔记)

发布于 作者:

Shiro从入门到权限绕过漏洞1(保姆笔记) 白帽子 2023-12-17 00:33 之前学习的时候一直没有写笔记,这次是来把Shiro的笔记全部补回来的。之前写过一个Shiro从0到1,但是感觉还是总结的很少。 这一次从零开始。 Shiro的简介 Shiro现在是比较火的一个安全框架了,还有很多安全框架,比如Spring Security等等,说是安全框架,也可以说成是权限管理框架。 权限管理

继续阅读

极客公园 2023 年度「中国创新力量 50 榜单(InnoForce 50)」发布

发布于 作者:

极客公园 2023 年度「中国创新力量 50 榜单(InnoForce 50)」发布 极客公园 极客公园 2023-12-16 14:00 排序按照拼音/英文首字母顺序 作为中国最大的创新者社区,极客公园过去 14 年来一直与中国一代代技术商业浪潮中的创新者在一起成长。 自 2011 年 1 月「中国创新产品评选(InnoAwards)」首次发布以来,极客公园一直在用年度产品评选的方式去见证每一年

继续阅读

实战| 任意用户密码重置漏洞

发布于 作者:

实战| 任意用户密码重置漏洞 原创 zkaq-zbs 掌控安全EDU 2023-12-16 12:03 扫码领资料 获网安教程 免费&进群 本文由掌 控 安 全 学 院 –  zbs  投 稿 一、漏洞说明: xxxx学院身份认证系统有严重的逻辑设计缺陷:账户登录、手机登录、密码找回三个接口找到n个逻辑漏洞包括任意账号密码修改、信息泄露(应该还有更多,但是有很多重复的漏洞,没必

继续阅读

通达 v11.8前台文件上传&命令执行漏洞利用分析

发布于 作者:

通达 v11.8前台文件上传&命令执行漏洞利用分析 1537871692507722 白帽子左一 2023-12-16 12:01 扫码领资料 获网安教程 免费&进群 api.ali.php任意文件上传 影响版本 v11.8 漏洞复现过程: 漏洞原理是通过文件上传上传一个json文件,再通过调用程序去解析json文件执行里面php语句 首先需要上传一个json文件 完整数据包: 接

继续阅读

二进制漏洞分析-24.华为TrustZone TA_HuaweiWallet漏洞

发布于 作者:

二进制漏洞分析-24.华为TrustZone TA_HuaweiWallet漏洞 原创 haidragon 安全狗的自我修养 2023-12-16 10:58 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB 访问)

继续阅读

实战 | 记一次金融项目的高危漏洞挖掘

发布于 作者:

实战 | 记一次金融项目的高危漏洞挖掘 F12sec 2023-12-16 10:48 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把 明暗安全 设为星标,否则可能就看不到啦!**** 1.漏洞背景 在我的最新项目中,我针对金融领域的一个复杂系统进行了深入探索。我的目标是识别潜在的安全弱点,为此,我采用了子域名模糊

继续阅读

小白快速上手 SRC漏洞挖掘科普攻略!

发布于 作者:

小白快速上手 SRC漏洞挖掘科普攻略! 原创 白猫不黑 网络安全自修室 2023-12-16 09:27 点击上方 蓝字关注我们 1 免责声明 本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究, 谨 遵守国家相关法律法规,请勿用于违法用途, 如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。 2 内容速览

继续阅读

最新Nessus2023.12.15.1版本漏洞扫描/探测工具下载Windows

发布于 作者:

最新Nessus2023.12.15.1版本漏洞扫描/探测工具下载Windows 原创 城北 渗透安全HackTwo 2023-12-16 09:00 前言 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。

继续阅读

Juniper新洞CVE-2023-36845浅析

发布于 作者:

Juniper新洞CVE-2023-36845浅析 耳旁有首歌 黑客白帽子 2023-12-16 08:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 前言 2023 年 8 月 17 日,Juniper 宣布了多个漏洞,包括:与防火墙 SRX 和 Switch EX 相关的 CVE-2023-36844、C

继续阅读

漏洞预警 | MLFlow远程代码执行漏洞

发布于 作者:

漏洞预警 | MLFlow远程代码执行漏洞 浅安 浅安安全 2023-12-16 08:00 0x00 漏洞编号 – # CVE-2023-6709 0x01 危险等级 – 高危 0x02 漏洞概述 MLflow是一个简化机器学习开发的平台,包括跟踪实验、将代码打包成可重现的运行,以及共享和部署模型。 0x03 漏洞详情 CVE-2023-6709 漏洞类型: 远程代码执行

继续阅读

【已复现】亿赛通电子文档安全管理系统远程代码执行漏洞

发布于 作者:

【已复现】亿赛通电子文档安全管理系统远程代码执行漏洞 长亭安全应急响应中心 2023-12-13 20:11 亿赛通电子文档安全管理系统是一个集文档加密、权限控制和操作审计于一体的软件,用于提升企业文档的安全性和管理效率。 2023年12月,互联网公开了一个亿赛通的远程代码执行漏洞。该漏洞利用无需前置条件,建议使用该系统的用户尽快修复。 漏洞描述 Description  01 漏洞成因亿赛通由于

继续阅读

备份插件存在严重RCE漏洞,可导致WordPress网站遭接管

发布于 作者:

备份插件存在严重RCE漏洞,可导致WordPress网站遭接管 代码卫士 2023-12-13 17:58 聚焦源代码安全,网罗国内外最新资讯!**** 作者:Elizabeth Montalbano 编译:代码卫士 WordPress 备份插件 Backup Migration 的下载次数已超过9万次,其中存在一个严重的RCE漏洞,可导致易受攻击的 WordPress 网站遭接管。这是又一起因建

继续阅读

微软12月补丁星期二值得关注的漏洞

发布于 作者:

微软12月补丁星期二值得关注的漏洞 综合编译 代码卫士 2023-12-13 17:58 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本月,微软修复了33个漏洞,加上前几天修复的9个Chromium 漏洞,则共计修复42个漏洞。 在所发布的补丁中,其中4个是 “严重”级别,29个是“重要”级别。一般来说12月的漏洞发布量较小,本月也不例外。实际上本月是自2017年起,漏洞数量最少

继续阅读

【安全更新】微软12月安全更新多个产品高危漏洞通告

发布于 作者:

【安全更新】微软12月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-12-13 17:49 通告编号:NS-2023-0048 2023-12-13 TAG: 安全更新、Microsoft Power Platform、Windows MSHTML、Internet 连接共享(ICS) 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行、信息

继续阅读

2023-12微软漏洞通告

发布于 作者:

2023-12微软漏洞通告 火绒安全 火绒安全 2023-12-13 17:36 微软官方发布了2023年12月的安全更新。本月更新公布了42个漏洞,包含11个特权提升漏洞、8个远程执行代码漏洞、8个信息泄露漏洞、5个身份假冒漏洞、5个拒绝服务漏洞,其中4个漏洞级别为“Critical”(高危),30个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新

继续阅读

通过Fuzzing技术挖掘Free5GC中PFCP协议的安全漏洞

发布于 作者:

通过Fuzzing技术挖掘Free5GC中PFCP协议的安全漏洞 数世咨询 2023-12-13 16:00 背景介绍  Free5GC是一个开源的5G核心网络实现项目,旨在提供一个完整的5G核心网络解决方案,包括多个关键组件,以支持5G通信网络的部署、测试和研究。随着5G技术的快速发展,Free5GC作为一款受欢迎的工具引起了广泛关注,同时其安全性问题也逐渐受到重视。本次安全研究聚焦于Free5

继续阅读

WordPress 插件曝出关键漏洞,导致 5 万个网站遭受 RCE 攻击

发布于 作者:

WordPress 插件曝出关键漏洞,导致 5 万个网站遭受 RCE 攻击 关键基础设施安全应急响应中心 2023-12-13 15:18 Bleeping Computer 网站消息,一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞,威胁攻击者能够利用该漏洞获得远程代码执行权限,从而完全控制有漏洞的网站(该插件名为 “Backup Migration&#8

继续阅读

雷神众测漏洞周报2023.12.04-2023.12.10

发布于 作者:

雷神众测漏洞周报2023.12.04-2023.12.10 原创 雷神众测 雷神众测 2023-12-13 15:17 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任

继续阅读