「漏洞挖掘实战」PPT来了| 一键领取
「漏洞挖掘实战」PPT来了| 一键领取 原创 干货满满的 字节跳动安全中心 2023-12-19 18:12 12月15日,第12期安全范儿技术沙龙「漏洞挖掘与实战」线上圆满结束!来自字节跳动无恒实验室、字节跳动云安全团队、中孚信息元亨实验室、武汉大学的4位安全专家,通过多维度、多视角的漏洞挖掘实战案例为线上的白帽师傅们带来精彩演讲。 安全范儿技术沙龙由字节跳动安全与风控发起,本次沙龙也得到元亨实
继续阅读标签: 信息泄露
未然通讯社:WordPress 插件漏洞影响5万余个网站;80%的泄露数据源自云端
未然通讯社:WordPress 插件漏洞影响5万余个网站;80%的泄露数据源自云端 未然实验室 华为安全 2023-12-19 18:02 往期推荐 未然通讯社:HTC Global遭遇勒索攻击;SpyLoan恶意软件Google Play下载量超千万 未然通讯社:即时通信软件Line遭遇数据泄露;国外医疗保健公司二次遭遇勒索攻击 未然通讯社:汽车零部件巨头 AutoZone 遭遇网络攻击;202
继续阅读微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞
微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞 Bill Toulas 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软在游戏、政府、军队和技术行业都在使用的源代码管理平台 Perforce Helix Core Server 上发现了四个漏洞,其中一个是严重等级。 微软公司的分析师对该
继续阅读漏洞通告 | 金蝶Apusic应用服务器远程代码执行漏洞
漏洞通告 | 金蝶Apusic应用服务器远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-12-19 16:59 01 漏洞概况**** 金蝶Apusic应用服务 器(Kingdee Apusic Application Server)是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境,用于部署和管理企业级Java应用程序。 微步漏洞团队监测到
继续阅读上周关注度较高的产品安全漏洞(20231211-20231217)
上周关注度较高的产品安全漏洞(20231211-20231217) 国家互联网应急中心CNCERT 2023-12-19 15:40 一、境外厂商产品漏洞 1、 Linux kernel nft_dynset_init函数拒绝服务漏洞 Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。 Linux kernel 存在拒绝服务漏洞,该漏洞源于函数 nft_
继续阅读Apache Dubbo多个反序列化漏洞安全风险通告
Apache Dubbo多个反序列化漏洞安全风险通告 奇安信 CERT 2023-12-18 17:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Dubbo多个反序列化漏洞 漏洞编号 CVE-2023-29234、CVE-2023-46279 公开时间 2023-12-15 影响对象数量级 十万级 奇安信评级 高危 CVSS 评分 7.7、8.1 威胁类型
继续阅读二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read
二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read 原创 haidragon 安全狗的自我修养 2023-12-17 21:04 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB
继续阅读【1day】万户OA check_onlyfield.jsp sql注入漏洞
【1day】万户OA check_onlyfield.jsp sql注入漏洞 原创 十二 十二主神 2023-12-17 09:30 重要通知 师傅们,动动小手指,设个星标,灰常感谢 漏洞描述 万户OA check_onlyfield.jsp sql注入漏洞,攻击者可通过此漏洞获取敏感信息。 资产测绘 Fofa:app="万户网络-ezOFFICE" 漏洞POC POC1 /d
继续阅读查头:通过姓名、身份证号获取人脸信息;|2023年,Log4j仍是黑客主要攻击的漏洞
查头:通过姓名、身份证号获取人脸信息;|2023年,Log4j仍是黑客主要攻击的漏洞 黑白之道 2023-12-17 09:12 查头:通过姓名、身份证号获取人脸信息; 2023年12月15日, 广东广州互联网法院公布了一起买卖公民个人信息案件。涉案人员利用人工智能将人脸照片生成视频,伪造人脸识别认证,从而非法牟利。其中涉及两项所谓的“业务”——“查头”和“过脸”。从2020年9月开始,郑某利用某
继续阅读【安全圈】戴尔紧急通报PowerProtect产品中的多个高风险漏洞
【安全圈】戴尔紧急通报PowerProtect产品中的多个高风险漏洞 安全圈 2023-12-16 19:01 关键词 安全漏洞 戴尔正向使用PowerProtect DD产品的客户发出警告,通报了该产品中发现的8个安全漏洞,其中多个漏洞被评定为高严重性级别,并强烈建议客户安装补丁。 这些漏洞影响PowerProtect Data Domain (DD) 系列设备,以及APEX Protect S
继续阅读实战| 任意用户密码重置漏洞
实战| 任意用户密码重置漏洞 原创 zkaq-zbs 掌控安全EDU 2023-12-16 12:03 扫码领资料 获网安教程 免费&进群 本文由掌 控 安 全 学 院 – zbs 投 稿 一、漏洞说明: xxxx学院身份认证系统有严重的逻辑设计缺陷:账户登录、手机登录、密码找回三个接口找到n个逻辑漏洞包括任意账号密码修改、信息泄露(应该还有更多,但是有很多重复的漏洞,没必
继续阅读二进制漏洞分析-24.华为TrustZone TA_HuaweiWallet漏洞
二进制漏洞分析-24.华为TrustZone TA_HuaweiWallet漏洞 原创 haidragon 安全狗的自我修养 2023-12-16 10:58 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB 访问)
继续阅读【已复现】亿赛通电子文档安全管理系统远程代码执行漏洞
【已复现】亿赛通电子文档安全管理系统远程代码执行漏洞 长亭安全应急响应中心 2023-12-13 20:11 亿赛通电子文档安全管理系统是一个集文档加密、权限控制和操作审计于一体的软件,用于提升企业文档的安全性和管理效率。 2023年12月,互联网公开了一个亿赛通的远程代码执行漏洞。该漏洞利用无需前置条件,建议使用该系统的用户尽快修复。 漏洞描述 Description 01 漏洞成因亿赛通由于
继续阅读2023-12 补丁日: 微软多个漏洞安全更新通告
2023-12 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-12-13 18:08 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-584 报告来源:360CERT 报告作者:360CERT 更新日期:2023-12-13 1 漏洞简述 2023年12月13日,360CERT监测发现Microsoft发布了2023年12月安全更新,事件等级:
继续阅读微软12月补丁星期二值得关注的漏洞
微软12月补丁星期二值得关注的漏洞 综合编译 代码卫士 2023-12-13 17:58 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本月,微软修复了33个漏洞,加上前几天修复的9个Chromium 漏洞,则共计修复42个漏洞。 在所发布的补丁中,其中4个是 “严重”级别,29个是“重要”级别。一般来说12月的漏洞发布量较小,本月也不例外。实际上本月是自2017年起,漏洞数量最少
继续阅读【安全更新】微软12月安全更新多个产品高危漏洞通告
【安全更新】微软12月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-12-13 17:49 通告编号:NS-2023-0048 2023-12-13 TAG: 安全更新、Microsoft Power Platform、Windows MSHTML、Internet 连接共享(ICS) 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行、信息
继续阅读2023-12微软漏洞通告
2023-12微软漏洞通告 火绒安全 火绒安全 2023-12-13 17:36 微软官方发布了2023年12月的安全更新。本月更新公布了42个漏洞,包含11个特权提升漏洞、8个远程执行代码漏洞、8个信息泄露漏洞、5个身份假冒漏洞、5个拒绝服务漏洞,其中4个漏洞级别为“Critical”(高危),30个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新
继续阅读通过Fuzzing技术挖掘Free5GC中PFCP协议的安全漏洞
通过Fuzzing技术挖掘Free5GC中PFCP协议的安全漏洞 数世咨询 2023-12-13 16:00 背景介绍 Free5GC是一个开源的5G核心网络实现项目,旨在提供一个完整的5G核心网络解决方案,包括多个关键组件,以支持5G通信网络的部署、测试和研究。随着5G技术的快速发展,Free5GC作为一款受欢迎的工具引起了广泛关注,同时其安全性问题也逐渐受到重视。本次安全研究聚焦于Free5
继续阅读苹果发布 iOS 17.2 紧急修复多个漏洞
苹果发布 iOS 17.2 紧急修复多个漏洞 Ryan Naraine 代码卫士 2023-12-12 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周一,苹果公司发布 iOS 17.2和 iPadOS 17.2,紧急修复可导致数百万用户遭攻击的多个漏洞。 新发布的 iOS 17.2和 iPad 17.2 版本中包含至少对11个已记录安全漏洞的修复方案,其中一些严重漏
继续阅读这453个勒索风险漏洞,不会有人还没修复吧!!!!
这453个勒索风险漏洞,不会有人还没修复吧!!!! 长亭安全应急响应中心 2023-12-12 17:15 勒索病毒,又称勒索软件(Ransomware),是一类恶意软件(malware)。它的主要目的是加密计算机系统中的数据,然后向受害者索要赎金以解密数据。勒索病毒通常通过诱骗用户下载、电子邮件附件、漏洞利用等多种途径进行传播。以LockBit组织为代表的勒索行为在全球范围内肆虐,仅2023年就
继续阅读漏洞通告 | 亿赛通新一代电子文档安全管理系统远程代码执行漏洞
漏洞通告 | 亿赛通新一代电子文档安全管理系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-12-12 15:16 01 漏洞概况**** 亿赛通新一代电子文档安全管理系统是一款融合文档加密、数据分类分级、访问控制等技术的综合性数据安全产品,致力于保护和管理组织的敏感信息和文档资产。微步漏洞团队通过“X 漏洞奖励计划”获取到亿赛通新一代电子文档安全管理系统远程代码执行漏洞情报
继续阅读上周关注度较高的产品安全漏洞(20231204-20231210)
上周关注度较高的产品安全漏洞(20231204-20231210) 国家互联网应急中心CNCERT 2023-12-12 14:57 一、境外厂商产品漏洞 1、Google Android Framework权限提升漏洞(CNVD-2023-96078) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,
继续阅读Chrome 120 修补了 10 个漏洞
Chrome 120 修补了 10 个漏洞 何威风 祺印说信安 2023-12-11 00:00 谷歌周二宣布向稳定渠道发布 Chrome 120,并修复了 10 个漏洞。 根据 Google 的公告 ,在已解决的问题中,有 5 个是由外部研究人员报告的,他们获得了总计 15,000 美元的错误赏金奖励。 根据所发放的奖励,最严重的缺陷是 CVE-2023-6508,这是 Media Stream
继续阅读LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除
LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除 何威风 祺印说信安 2023-12-11 00:00 各个 BIOS 供应商都在争先恐后地向 OEM 和主板制造商发布 UEFI 补丁。 根据Ars Technica 的一份报告,运行 Windows 或 Linux 的计算机容易受到一种名为 LogoFAIL 的新型固件攻击。 事实证明,这种攻击极其有效,因为它重写了系统在成功
继续阅读高质量POC编写指北
高质量POC编写指北 yaklang 白帽子左一 2023-12-10 12:00 扫码领资料 获网安教程 免费&进群 在开始编写 PoC 之前,深入了解漏洞的特性、触发条件以及潜在影响是至关重要的。只有对漏洞有全面的理解,才能编写出准确率更高的 PoC。 其次,应该充分测试和验证编写的 PoC。确保 PoC 在目标环境中能够可靠地重现漏洞,并产生一致的结果。 此外,及时更新和维护 PoC
继续阅读(1day)iDocView在线文档预览系统某接口存在任意文件读取
(1day)iDocView在线文档预览系统某接口存在任意文件读取 websec WK安全 2023-12-10 09:58 声明 : 未经授权,严禁转载,如需转载,联系作者。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 0x00.漏洞描述 (一)漏洞描述 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文
继续阅读【资讯】WordPress 曝出严重漏洞、特别重大、重大、较大网络安全事件,怎么分?
【资讯】WordPress 曝出严重漏洞、特别重大、重大、较大网络安全事件,怎么分? KaitouLee整理 黑客白帽子 2023-12-10 09:02 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 1 现已修复!WordPress 曝出严重漏洞 Bleeping Computer 网站消息,WordPress
继续阅读【已复现】关于新的Struts2漏洞,你应该知道的
【已复现】关于新的Struts2漏洞,你应该知道的 长亭安全应急响应中心 2023-12-09 18:30 Struts2是一个流行的Java框架,用于开发企业级Web应用程序。支持动作处理、表单验证、拦截器,以及与其他Java技术的集成。 2023年12月,Apache官方发布新版本修复了Struts2中的一个文件上传漏洞(CVE-2023-50164),并将其编号为S2-066。 该漏洞的利用
继续阅读欢迎咨询!系统0day安全-Windows平台漏洞挖掘
欢迎咨询!系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-12-09 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和
继续阅读漏洞实战 | 数据泄露
漏洞实战 | 数据泄露 苏苏的五彩棒 迪哥讲事 2023-12-07 22:46 随着移动互联网的快速发展和物联网设备的普及,API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用,因此与API相关的数据泄露事件也逐渐增多。Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它漏洞而发生大量数据
继续阅读