注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩
注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩 原创 紫队 紫队安全研究 2025-04-27 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全的战场上,威胁总是
继续阅读标签: 信息泄露
智能汽车安全-漏洞挖掘到控车攻击
智能汽车安全-漏洞挖掘到控车攻击 OYyunshen 神农Sec 2025-04-27 03:21 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://forum.butian.ne
继续阅读【0day预警】最新版小皮面板(XPanel)绕过随机安全入口前台RCE方法
【0day预警】最新版小皮面板(XPanel)绕过随机安全入口前台RCE方法 原创 匿名大手子 菜狗安全 2025-04-27 01:11 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 文章由交流
继续阅读宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953)
宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953) 云梦DC 云梦安全 2025-04-27 01:10 一:产品介绍 宏景人力资源管理系统是一款专业、高效的一体化HR管理平台,涵盖组织架构、招聘管理、员工档案、考勤薪资、绩效培训等核心模块,通过智能化流程与数据分析助力企业实现人力资源数字化转型升级。系统支持云端/本地部署,提供灵活配
继续阅读Spring Boot漏洞总结(文末加技术交流群)
Spring Boot漏洞总结(文末加技术交流群) 原创 ashui Rot5pider安全团队 2025-04-27 00:58 点击上方蓝字 关注安全知识 引 言 下方加交流群,二维码满了添加: parkour1998 入群 一、Spring Boot框架识别方法 图标特征 默认启动页图标(可通过浏览器开发者工具查看favicon.ico文件hash值) Spring Boot Actuat
继续阅读护网行动2024漏洞复盘:这些”0day漏洞”为何让企业一夜崩盘?
护网行动2024漏洞复盘:这些”0day漏洞”为何让企业一夜崩盘? 是傲 安小圈 2025-04-27 00:45 声明:无恶意引导,漏洞信息以及poc网上均已公开,此文章进行漏洞资源整合复盘,仅供师傅们参考。 【前言】 小伙伴们一年一度的护网攻防即将开始,你们的实力提升如何了?是不是又在幻想要打穿哪家企业了?那就让蓝方工程师尝尝你们新的“绝招”吧。 在2024年护网攻防演
继续阅读【神器合集】漏洞挖掘效率翻倍!200+BurpSuite插件清单收录
【神器合集】漏洞挖掘效率翻倍!200+BurpSuite插件清单收录 原创 摆烂的beizeng 土拨鼠的安全屋 2025-04-27 00:33 FastjsonScan4Burp — 一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中的存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测、深入利用fastjson漏洞,目前以
继续阅读分布式自动化信息收集、漏洞扫描
分布式自动化信息收集、漏洞扫描 原创 白帽学子 白帽学子 2025-04-27 00:11 兄弟们,之前hvv行动前资产梳理又让我头秃了。上周给客户做资产测绘时,发现他们云上资产像滚雪球一样越测越多,光子域名列表就拖了三个小时——这时候突然想起上个月试用的scope-sentry工具,这玩意儿的资产图片流视图功能,把服务器快照、域名解析树这些可视化得跟CT扫描似的,直接甩给甲方就能让他们闭嘴。 说
继续阅读170页 漏洞挖掘总结
170页 漏洞挖掘总结 计算机与网络安全 2025-04-26 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 漏洞挖掘是信息安全领域的重要技术手段,旨在发现软件、系统或网络中的潜在安全缺陷。其核心在于通过主动测试与逆向分析,定位可能被攻击者利用的薄弱环节。典型流程通常从信息收集开始,包括目标系统的版本信息、开放端口、服务框架等基础数据,例如使用Nmap扫描工具获取网络拓扑结
继续阅读【安全圈】NVIDIA NeMo 框架三大高危漏洞致远程攻击与数据篡改风险剧增
【安全圈】NVIDIA NeMo 框架三大高危漏洞致远程攻击与数据篡改风险剧增 安全圈 2025-04-26 11:01 关键词 安全漏洞 马里兰州主要医疗服务机构之一 Frederick Health Medical Group 近日披露,该机构于今年1月遭遇勒索软件攻击,导致约 93万名患者 的敏感个人信息被泄露。 Frederick Health 拥有近 4000名员工 ,在本地设有超过
继续阅读隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行
隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行 原创 VlangCN HW安全之路 2025-04-26 10:44 你是否曾在餐厅点餐时好奇,”菜单上会不会有什么秘密菜品没有展示给我?” 这正是我在一次深夜安全侦察过程中浏览子域名时的感受。疲惫不堪,却渴望发现一些值得研究的漏洞。没想到,我即将遇到的是一个配
继续阅读在看 | 周报:国家部委张某犯重大间谍案;微软新安全功能误判导致全球性账户锁定;华硕确认AiCloud路由器存在严重漏洞
在看 | 周报:国家部委张某犯重大间谍案;微软新安全功能误判导致全球性账户锁定;华硕确认AiCloud路由器存在严重漏洞 原创 管窥蠡测 安在 2025-04-26 09:12 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、国家部委张某犯重大间谍案 国家安全部披露一起重大间谍案。某国家部委工作人员张某,主动向境外间谍情
继续阅读SAP NetWeaver 中的关键漏洞受到主动利用的威胁
SAP NetWeaver 中的关键漏洞受到主动利用的威胁 原创 mayfly 独眼情报 2025-04-26 07:34 关键漏洞 CVE-2025-31324,一个未经身份验证的文件上传漏洞,已在 SAP NetWeaver Visual Composer 中被发现,其严重程度被评为最高的 10.0 分。安全研究人员观察到,恶意行为者正在积极利用此漏洞上传 JSP webshell,从而获得未
继续阅读若依系统 | SQL注入漏洞+druid框架漏洞
若依系统 | SQL注入漏洞+druid框架漏洞 原创 神农Sec 神农Sec 2025-04-26 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 若依系统渗透测试 漏洞一:SQL注入漏洞 都
继续阅读漏洞预警 | 泛微E-Office SQL注入漏洞
漏洞预警 | 泛微E-Office SQL注入漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微e-office是泛微旗下的一款标准协同移动办公平台。主要面向中小企业,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响:
继续阅读小程序渗透记录 通过细节挖掘漏洞的艺术
小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 蓝云Sec 2025-04-25 12:03 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包 选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/
继续阅读微软悬赏最高3万美元征集AI系统漏洞
微软悬赏最高3万美元征集AI系统漏洞 FreeBuf 2025-04-25 10:35 微软宣布将Dynamics 365和Power Platform服务及产品中发现的AI漏洞赏金最高提升至3万美元。 01 产品范围与漏洞类型 Power Platform包含帮助企业分析数据和自动化流程的应用程序,而Dynamics 365则是一套连接客户、产品、人员和运营的商业应用套件。符合奖励条件的AI漏洞
继续阅读2025年第一季度159个CVE漏洞遭利用
2025年第一季度159个CVE漏洞遭利用 FreeBuf 2025-04-25 10:35 2025年第一季度共有159个CVE编号漏洞被确认在野利用,较2024年第四季度的151个有所上升。 网络安全公司VulnCheck向《黑客新闻》提供的报告指出:”我们发现漏洞利用速度持续加快,28.3%的漏洞在其CVE披露后24小时内就遭到利用。”这意味着有45个安全漏洞在公开披
继续阅读2025年Q1 遭利用漏洞达159个,开源软件类排名第四
2025年Q1 遭利用漏洞达159个,开源软件类排名第四 Ravie Lakshmanan 代码卫士 2025-04-25 09:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VulnCheck 公司发布报告表示,在2025年第一季度,多达159个CVE漏洞已被标记为遭在野利用,而2024年第四季度这一数字为151个。 报告指出,“我们仍发现,在CVE编号发布不到一天的时间,28.3
继续阅读SyntaxFlow:挖掘 CVE 漏洞必备神器!你还不赶紧了解?
SyntaxFlow:挖掘 CVE 漏洞必备神器!你还不赶紧了解? 原创 YAK Yak Project 2025-04-25 09:02 基础知识:https://ssa.to/syntaxflow-guide/intro 对于框架来说,常常是不能编译底层全部源码的,一方面,底层源码采用多种设计模式来降低代码的耦合度,另一方面,对于底层的代码框架,其文件和包含的依赖常常有几千个,其编译起来会非常
继续阅读Top 10 漏洞不懂?这还不手拿把掐吗?
Top 10 漏洞不懂?这还不手拿把掐吗? 点击关注👉 马哥网络安全 2025-04-25 09:01 1. SQL注入(SQL Injection) 段子 : HR:你叫什么名字? 程序员:’; DROP TABLE 员工表; — HR:你被录用了!(然后公司数据库消失了) 技术原理 : – 攻击者通过输入恶意SQL代码,欺骗数据库执行非法操作(比如删库、窃取
继续阅读关于防范Google Chrome沙箱逃逸高危漏洞的风险提示
关于防范Google Chrome沙箱逃逸高危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-04-25 08:35 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, Google Chrome 存在沙箱逃逸高危漏洞,可被恶意利用导致信息泄露、代码执行等危害。 Google Chrome 是谷歌公司开发的网页浏览器,用于快速浏览、搜索互联网内容。由于
继续阅读高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线
高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线 安全客 2025-04-25 08:21 近期,微软宣布将Dynamics 365和Power Platform服务和产品中发现的AI漏洞的奖金最高增加到30000美元。其中,Power Platform包括旨在帮助公司分析数据和自动化流程的应用程序,而Dynamics 365是一组连接客户、产品、人员和运营的业务应用程序。 该
继续阅读记一次接口导致的漏洞
记一次接口导致的漏洞 原创 Fengge233 Tsia安全团队 2025-04-25 08:07 1、经典开局一个登录框swagger泄露,提取跑接口 某接口信息泄露 2、未授权 开局一个登录口 提取接口跑一波出货了
继续阅读【漏洞预警】泛微 E-cology 远程代码执行漏洞
【漏洞预警】泛微 E-cology 远程代码执行漏洞 原创 大荒Sec 太乙Sec实验室 2025-04-25 07:12 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何
继续阅读【工具分享】JavaSecLab综合且全面的Java漏洞平台
【工具分享】JavaSecLab综合且全面的Java漏洞平台 秀龙叔 黑客之道HackerWay 2025-04-25 07:00 简介: JavaSecLab是一款最全面的Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析,涵盖多种漏洞场景,人性化的交互UI…… 支持漏洞模块: 跨站脚本攻击、跨站请求伪造、CORS、JS
继续阅读上周关注度较高的产品安全漏洞(20250414-20250420)
上周关注度较高的产品安全漏洞(20250414-20250420) 金瀚信安 2025-04-25 06:36 一、境外厂商产品漏洞 1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该
继续阅读IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战
IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战 斗象科技 2025-04-25 05:59 在智能设备安全事件频发的今天,欧盟2024年新规规定所有联网设备必须提供5年的免费安全更新,我国《物联网基础安全 物联网平台安全分级分类管理评估方法》(YD/T 6039-2024)在今年2月正式实施,合规与网络安全性已经成为智能产品的重要指标之一。 2024年12月,距某全球500强综合性智
继续阅读“脚本小子”-之恶意poc投毒事件
“脚本小子”-之恶意poc投毒事件 实战安全研究 2025-04-25 02:01 前言 最经看见一个国外小哥的文章,觉得写的挺好的,但是可能很少人刷到,所以就有了这篇文章,希望能够把每个点都按照自己的理解讲的明明白白,看过之后同时也提醒大家对于网上的poc以及exp,还有一些工具一定要保持严谨仔细的态度,可能一个不小心你的电脑就中招了,是个人pc还好,如果是公司服务器啥的那造成的影响可就不小。
继续阅读Lazarus APT 利用1day漏洞攻击韩国目标
Lazarus APT 利用1day漏洞攻击韩国目标 会杀毒的单反狗 军哥网络安全读报 2025-04-25 01:00 导读 臭名昭著的 Lazarus APT组织最近发起一场网络间谍活动,被追踪为“Operation SyncHole”,自 2024 年 11 月以来,已危害至少六个韩国机构,涉及软件、IT、金融、半导体和电信领域。 根据详细研究,攻击者采用了水坑攻击和利用韩国广泛使用的软件(
继续阅读