迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495)
迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495) 原创 护卫神 护卫神说安全 2025-05-12 01:32 迅睿CMS是一款基于PHP语言开发的开源内容管理系统,具有高效、灵活、易用的特点。它采用模块化设计,支持多终端适配,包括PC端、移动端等,方便用户快速搭建各类网站。系统内置丰富的功能组件和插件机制,可满足不同用户的个性化需求。同时,迅睿CMS注重安全性与稳定性,提
继续阅读标签: 信息泄露
src漏洞挖掘之XSS由浅入深
src漏洞挖掘之XSS由浅入深 Poseidon 神农Sec 2025-05-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/new
继续阅读多个未授权漏洞深度利用实战
多个未授权漏洞深度利用实战 原创 锐鉴安全 锐鉴安全 2025-05-11 23:21 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 Part-01 背景 日常开展Src测试,通过目录扫描发现swagger文档泄露,进一步利用,发现弱口令、数据
继续阅读挖洞日记 | 记一次不断FUZZ拿下高危越权漏洞
挖洞日记 | 记一次不断FUZZ拿下高危越权漏洞 原创 zkaq-腾风起 掌控安全EDU 2025-05-11 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 前言 一个迎新系统,和师傅们一起提升一下权限 敏感信息泄露 1 进去系统,先挨个功能点瞅瞅,没发现上传
继续阅读分享云安全浪潮src漏洞挖掘技巧
分享云安全浪潮src漏洞挖掘技巧 原创 神农Sec 神农Sec 2025-05-11 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 前言 哈喽,师傅们!这次给师傅们分享的是最近在研究的
继续阅读从 .NET 代码审计看 ViewState 反序列化漏洞
从 .NET 代码审计看 ViewState 反序列化漏洞 专攻.NET安全的 dotNet安全矩阵 2025-05-11 00:50 .NET框架提供了诸如ViewState等便利的状态保持机制,但正是这些便利,在默认配置和低版本框架中却隐藏着巨大的安全隐患。本文将以.NET ViewState反序列化漏洞为主线,讲解如何从代码审计的角度识别风险配置、分析漏洞触发条件,并配合实际攻击链演示,揭示
继续阅读电商诈骗平台漏洞挖掘实录:从供应链后台到数据泄露的破局之路
电商诈骗平台漏洞挖掘实录:从供应链后台到数据泄露的破局之路 原创 子午猫 网络侦查研究院 2025-05-10 10:27 一、钓鱼网站初体验:分红模式下的技术嗅觉 接到侦查委托的那一刻,我盯着屏幕上的 “跨境电商分红平台” 陷入沉思。表面上看,这是一个打着 “巴西电商项目” 旗号的投资平台 —— 用户投钱支持项目,每完成一笔巴西订单就能获得分红。
继续阅读【PoC】威胁行为者在野利用 SAP 漏洞
【PoC】威胁行为者在野利用 SAP 漏洞 独眼情报 2025-05-10 07:07 国内有 1500 左右的受影响设备。之前也发过,没人重视,再发一遍。 SAP NetWeaver 中的关键漏洞受到主动利用的威胁 CVE-2025-31324 是一个影响 SAP NetWeaver Visual Composer 7.x 的严重反序列化漏洞,该漏洞允许攻击者将恶意二进制文件(例如 Web Sh
继续阅读JS漏洞挖掘|分享使用FindSomething联动的挖掘思路
JS漏洞挖掘|分享使用FindSomething联动的挖掘思路 原创 神农Sec 神农Sec 2025-05-10 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 前言 哈喽,师傅们!
继续阅读公安部发布等保工作说明函,流行AI开发工具曝严重漏洞|一周特辑
公安部发布等保工作说明函,流行AI开发工具曝严重漏洞|一周特辑 威努特安全网络 2025-05-09 23:59 公安部针对等保工作发布说明函 近期,公安部发布公网安〔2025〕1846号文件,对3月8日部署的网络安全等级保护工作进行进一步说明,要求各级单位深化系统备案更新、数据资源摸底及风险整改,并对 “如何执行系统备案动态更新工作”等部分关键问题进行了指导说明。点击此处 可跳转官方通知,查看说
继续阅读健康证泄露导致的越权漏洞
健康证泄露导致的越权漏洞 原创 bcloud 蓝云Sec 2025-05-09 16:00 声明 本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。 前言 这个漏洞存在于小程序上,我觉得相较于web网站,小程序漏洞的挖掘更加容易一点,虽然可能会涉及到加密和sign签名什么的,这种可能需要进行反编
继续阅读electrolink 信息泄露漏洞 (CVE-2025-28228)
electrolink 信息泄露漏洞 (CVE-2025-28228) Superhero Nday Poc 2025-05-09 10:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 Electrol
继续阅读【原创漏洞】AOSP跨用户资源访问漏洞
【原创漏洞】AOSP跨用户资源访问漏洞 启明星辰 ADLab 2025-05-09 09:29 更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 一、研究背景 Android的多用户机制是指系统支持在同一台设备上创建多个用户账户,每个账户拥有独立的应用环境、数据和设置,主要用于平板设备、共享设备、企业管理设备等场景。启明星辰ADLa
继续阅读从靶场到实战:某双一流高校多个高危漏洞
从靶场到实战:某双一流高校多个高危漏洞 蚁景网安 2025-05-09 08:30 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: Web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻找目标。这里注意如果你要挖
继续阅读IBM Cognos Analytics 漏洞允许攻击者上传恶意文件
IBM Cognos Analytics 漏洞允许攻击者上传恶意文件 邑安科技 邑安全 2025-05-09 05:33 更多全球网络安全资讯尽在邑安全 IBM 发布了一个重要的安全建议警告,指出两个影响其 Cognos Analytics 平台的高严重性漏洞,这些漏洞可能允许攻击者上传恶意文件并在受影响的系统上执行代码。 这些漏洞被确定为 CVE-2024-40695 和 CVE-2024-51
继续阅读实战攻防之Nacos漏洞一文通
实战攻防之Nacos漏洞一文通 黑白之道 2025-05-09 02:06 前言 实战nacos漏洞复现记录一下,大佬勿喷。 小白可以直接收藏下来学习一下很多poc我都直接给出来了,基本就是我的笔记。 如果,有不对的可以指正一下,一起学习。 nacos介绍 Nacos 开放的端口 资产收集 下面可以看到icon图标,除了开始我们上面的一种,下面还有好几个,可以点击ico图标进一步扩大信息收集面 针
继续阅读常见的信息泄露漏洞挖掘(第二部分)
常见的信息泄露漏洞挖掘(第二部分) 原创 LA安全 LA安全实验室 2025-05-09 01:02 哈喽,各位大佬们! 上次的信息泄露漏洞文章被各位点赞,我感动得差点把键盘敲出火星子🔥!为了报答大家的厚爱,我写出了第二弹——这次可是干货满满(其实漏洞很好挖掘),包教包会,学不会算我输! PS: 文末送小工具,手快有,手慢无哦~ 报错页面信息泄漏 这个就是咱们在正常测试的时候,通过输入一些特殊的字
继续阅读实战中踩过的坑:我是如何用Ingram搞定摄像头漏洞扫描的
实战中踩过的坑:我是如何用Ingram搞定摄像头漏洞扫描的 原创 子午猫 网络侦查研究院 2025-05-09 01:00 去年冬天参与某关键信息基础设施保卫战(HVV行动)时,我盯着Excel表格里密密麻麻的2000多个网络摄像头IP犯了难。这些设备来自海康、大华、宇视、DLink等多个品牌,既有部署在老旧厂区的传统安防设备,也有新上线的智能摄像头。甲方要求72小时内完成漏洞排查,手动逐个验证显
继续阅读AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御
AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御 船山信安 2025-05-08 18:02 前言 在数字化时代,人工智能(AI)技术的飞速发展无疑为各行各业带来了革命性的变化。然而,随着AI技术的广泛应用,网络安全风险也随之增加,成为我们必须直面的严峻挑战。本文将深入探讨AI发展带来的网络安全风险,以及我们如何应对这些挑战。 AI技术的发展与网络安全风险: AI技术的训练和应用需要大
继续阅读【漏洞赏金计划】—— 提交漏洞,赢取高额奖金!
【漏洞赏金计划】—— 提交漏洞,赢取高额奖金! 原创 暗夜铭少 黑帽渗透技术 2025-05-08 12:34 很多朋友不知道学了渗透就是以为是违法,这个我很早以前就说明过了,菜刀在一个厨师跟在一个坏人的用途,我这么说应该理解了吧,帽子叔叔盯上的是坏人手里的菜刀,而不是厨师手里的菜刀,好了现在伙伴们都知道怎么运用了,现在看看怎么在正规平台做任务拿赏金,我优先推荐国内平台,毕竟作为国人肯定要优先在自
继续阅读CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告
CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-05-08 10:09 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Craft CMS 存在一个远程代码执行漏洞,编号为 CVE-2025-32432。该漏洞源于Craft CMS处理用户输入不当,攻击者可以利用Http请求发送恶意代码,服务器将其执行,从而改变系统状态或获取敏感信息。
继续阅读原力金智SRC上线漏洞盒子 | 「企业SRC」新住客
原力金智SRC上线漏洞盒子 | 「企业SRC」新住客 漏洞盒子 2025-05-08 10:03 oi!—— 节后上班摸鱼的你,别划了! 本蛙要给大家介绍一位新朋友 在本蛙的度假旅程中 从扫码买单到人脸验证 这位朋友始终一路随行 提供24小时在线的满满安全感 原力金智安全应急响应中心 入驻漏洞盒子啦! 让我们一起挖漏洞、补短板 共同守护金融智能的安全底线 01 / 漏洞提交地址 yljz.vulb
继续阅读信息安全漏洞周报(2025年第18期)
信息安全漏洞周报(2025年第18期) 原创 CNNVD CNNVD安全动态 2025-05-08 09:30 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月28日至2025年5月4日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞897个。 接报漏洞情况 本周CNNVD接报漏洞3303个,其中信息技术产品漏洞(通用型漏洞)192个,网络
继续阅读play勒索软件利用Windows零日漏洞入侵美国企业,系统权限遭全面窃取!
play勒索软件利用Windows零日漏洞入侵美国企业,系统权限遭全面窃取! 原创 道玄安全 道玄网安驿站 2025-05-08 04:00 “ 0day。” PS:有内网web自动化需求可以私信 01 — 导语 近期,安全研究机构Symantec披露,与Play勒索软件(又名PlayCrypt)关联的黑客组织Balloonfly,利用Windows系统高危零日漏洞 CVE-2025-29824
继续阅读Milkyway【具备效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能的全方位扫描工具】
Milkyway【具备效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能的全方位扫描工具】 原创 白帽学子 白帽学子 2025-05-08 00:11 昨天用Milkyway给某政务云做全端口扫描,这工具的乱序模式直接把效率拉满,咱俩唠唠它怎么在实战里真香。 上周红队演练,甲方要求48小时内摸清某金融城的暴露面。用FOFA语句拉取目标的时候,这货直接支持环境变量自动填充,省了我手动填密钥的
继续阅读漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞
漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 汉王e脸通综合管理平台是一个集生物识别、大数据、NFC射频、计算机网络、自动控制等技术于一体,通过“人脸卡”及关联信息实现多种功能智能管理,打造从云端到终端一体化应用,广泛应用于智慧园区
继续阅读《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周
《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周 原创 群秘 君哥的体历 2025-05-07 23:02 0x1本周话题 话题一:请教下,大家跨机房的漏扫都是怎么做的?我们之前尝试过在IDC和阿里云互相做漏扫,IDC的扫描流量会时不时的招来网安的询问,阿里云的漏扫也会触发平台的机制被封禁,尝试找阿里云加白也不行,感觉做个漏扫好难啊… A1: 那你们网安做得真不错
继续阅读紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!
紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复! 原创 道玄安全 道玄网安驿站 2025-05-07 23:00 “ RCE又来了。” PS:有内网web自动化需求可以私信 01 — 导语 近日,IT服务管理平台SysAid On-Premise(本地部署版)被曝存在 4个高危漏洞 ,攻击者无需身份验证即可远程执行任意代码(RCE),直接控制目标服务器。安全团
继续阅读漏洞扫描工具 — ThinkPHPKiller(5月6日更新)
漏洞扫描工具 — ThinkPHPKiller(5月6日更新) enh123 Web安全工具库 2025-05-07 16:02 暗月渗透测试09漏洞学习与挖掘18课合集下载 链接:https://pan.quark.cn/s/b2a61afdacff =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此
继续阅读