CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读赏金故事 | 入侵 Google 自家的漏洞追踪系统,并拿下1.5w$ 白帽子左一 白帽子左一 2025-04-14 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 你听说过 Google 的 Issue Tracker 吗?大概没有,除非你是 Google 的员工,或者是最近在使用 Google 工具时提交过漏
继续阅读黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱 原创 筑梦网安 全栈安全 2025-04-13 16:01 SSRF(服务器端请求伪造)漏洞已成为黑客攻击的重要手段之一。通过利用这一漏洞,攻击者可以通过发送特制的请求,获取服务器内部的敏感信息,甚至完全控制服务器。本文将深入探讨SSRF漏洞的工作原理,以及黑客如何利用一张图片来实施攻击,揭示这一致命陷阱的本质。 开篇故事:一张“合法请
继续阅读CVE-2025-24813:Apache Tomcat 漏洞POC z1 Z1sec 2025-04-13 15:15 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-24813是一个影响Apache Tomc
继续阅读【安全圈】TP-Link 漏洞:Wi-Fi 凭据面临泄露风险 安全圈 2025-04-13 11:00 关键词 安全漏洞 TP-Link Tapo H200 V1 物联网智能集线器存在一个严重漏洞,该漏洞可能会让用户的 Wi-Fi 凭据暴露给攻击者。 该漏洞编号 CVE-2025-3442,其根源在于该设备的固件以明文形式存储敏感信息,这使得能够实际接触到该设备的攻击者可以获取这些信息。该漏洞被归
继续阅读价值 $25,000 的hackerone 漏洞 原创 漏洞集萃 漏洞集萃 2025-04-13 10:57 这个故事的标题听起来有点怪,但确实如此。故事围绕的是在 HackerOne 发现的一个安全漏洞展开,这个漏洞会暴露 HackerOne 的漏洞报告者(也就是“黑客”)和项目团队成员账户的敏感个人数据。所谓敏感数据,包括报告者/团队的邮箱、电话号码、OTP 备用码、GraphQL 密钥令牌、
继续阅读实战|SQL注入漏洞 原创 bcloud 蓝云Sec 2025-04-13 00:13 声明 任何网络安全相关测试均需取得授权,本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关! 前言 一次渗透测试实战中的SQL注入,从延时注入耗费大量时间到用户名密码获取至整个网站数据信息泄露的一次真实记录。 渗透开始 首先开局登录框,任意输入用户名密码admin:
继续阅读heapdump未经授权漏洞利用 原创 simeon的文章 小兵搞安全 2025-04-12 23:48 在实际渗透过程中碰到api泄露以及类似若以cms监控等,可以对heapdump文件进行导出,通过分析,可以获取一些敏感信息,通过利用泄露的敏感信息可以获取一些有用的资料,有的甚至可以直接获取服务器权限。本文对heapdump利用的方法进行总结和介绍。 1.1HeapDump及HeapDump_
继续阅读CrushFTP新安全漏洞:未授权访问和CVE-2025-31161 知机安全 知机安全 2025-04-12 10:24 Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Copilots)的区别。Agentic AI具备自主性,能独立感知、规划、调查和结论,
继续阅读【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395) 原创 聚焦网络安全情报 安全聚 2025-04-12 03:55 中 危 公 告 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-32395,CVSS:6.0 由于没有对请求的路径进行严格的安全检查和限制,攻击者可利用该漏洞获取敏感信息,可能导致系统数据泄露等严重后果。 01 漏洞描述
继续阅读工具集: DahuaExploitGUI【dahua综合漏洞利用工具】 风铃Sec 2025-04-12 02:34 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末附下载】 🐉工具介绍 dahua综合漏洞利用工具,此项目主要用于在授权情况下对大华系列产品进行漏洞检测。 dahua综合漏洞利用工具 收录漏洞如下: 大华DSS数字监控系统attachment_clear
继续阅读25,000美元漏洞背后的警醒:API端点如何成为数据泄露的“后门”? 原创 道玄安全 道玄网安驿站 2025-04-12 02:05 “ 信息泄露。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入
继续阅读小程序渗透记录 | 通过细节挖掘漏洞的艺术 一天要喝八杯水 HACK之道 2025-04-12 01:00 作者:一天要喝八杯水 原文链接:https://forum.butian.net/share/4229 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,
继续阅读漏洞预警 | Kavita路径遍历漏洞 浅安 浅安安全 2025-04-12 00:04 0x00 漏洞编号 – # CVE-2025-31131 0x01 危险等级 – 高危 0x02 漏洞概述 YesWiki是一个基于PHP和MySQL开发的开源、易用的Wiki平台。 0x03 漏洞详情 CVE-2025-31131 漏洞类型: 目录遍历**** 影响: 获取敏感信息
继续阅读【漏洞通告】Vite 任意文件访问漏洞(CVE-2025-32395) 启明星辰安全简讯 2025-04-11 16:30 一、漏洞概述 漏洞名称 Vite 任意文件访问漏洞 CVE ID CVE-2025-32395 漏洞类型 信息泄露 发现时间 2025-04-11 漏洞评分 6.0 漏洞等级 中危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 需要 PoC/EXP 已公开 在野利用
继续阅读ZZCMS最新跨站脚本漏洞及解决办法(CNVD-2025-05384、CVE-2025-1949) 原创 护卫神 护卫神说安全 2025-04-11 15:36 ZZCMS 是一款基于 PHP + MySQL 的内容管理系统,主要用于快速搭建招商网站,可快速搭建:医药招商、保健品招商、化妆品招商、农资招商、孕婴童招商、酒类副食类等招商网站。 它以简洁、高效和安全为特点,适合企业、个人及开发者使用。
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)安全风险通告 奇安信 CERT 2025-04-11 14:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-15227,CVE-2025-32395 公开时间 2025-04-10 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读安全威胁情报周报(2025/04/05-2025/04/11) 观安无相实验室 2025-04-11 09:02 #本期热点 0 1 热点安全事件 微软在安全公告上感谢勒索软件组织EncryptHub Oracle 因涉嫌云泄露事件被起诉,影响数百万美元 Sec-Gemini v1 – 谷歌发布了网络安全新 AI 模型 新型恶意软件威胁 Android 通话,号码替换引发信息安全危机 ChatGP
继续阅读午夜代码影:黑客捉奸背后的 Azure 漏洞暗战 勤奋的运营姐姐 EnhancerSec 2025-04-11 07:39 前因 凌晨两点,私家侦探林默的电脑屏幕在昏暗的房间里泛着幽幽蓝光。他盯着客户发来的信息,嘴角勾起一丝冷笑,“三天内,拿到我丈夫和那个女人的聊天记录,钱不是问题。” 客户的丈夫是某知名社交平台“蜜语“的CTO,而平台最近刚迁移到Azure云,采用了一套自动化CI/CD流水线——
继续阅读【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护! 原创 52 易云安全应急响应中心 2025-04-11 07:28 漏洞预警 共/筑/网/络/安/全 1、漏洞描述 近日,易云科技监测到一则Foxmail邮件客户端跨站脚本攻击 漏洞。 Foxmail是我国知名电子邮件客户端之一,其上市时间自1997年第一版公测开始至今已28年,Foxmail电子邮件客户端在2005年3
继续阅读[0411] 一周重点威胁情报|天际友盟情报站 天际友盟 天际友盟 2025-04-11 07:04 热点情报 微软补丁日通告:2025年4月版 Lazarus组织npm恶意软件活动再扩张 Kimsuky使用恶意软件定向渗透韩国企业 APT32利用GitHub对安全团队和企业网络发动攻击 UAC-0226组织利用GIFTEDCROOK与恶意宏实施精准攻击 APT攻击 Kimsuky组织针对韩国政府
继续阅读【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞 安全圈 2025-04-10 19:00 关键词 安全漏洞 Adobe 已发布了一套全面的安全更新,用于修复旗下十二款产品中存在的多个漏洞。 这些补丁均于 2025 年 4 月 8 日发布,旨在解决严重、重要及中等程度的安全缺陷,这些缺陷可能会使用户面临各种网络威胁,包括任意代码执行、权限提升以及应用程序拒绝服务攻击。 已修复的重大漏
继续阅读智能体连续发现汽车漏洞!360登Black Hat演示高危利用链 360数字安全 2025-04-10 18:27 近日,全球瞩目的Black Hat Asia 2025亚洲黑帽大会在新加坡隆重召开,汇聚了来自各个国家的顶级网络安全战略智库、技术学者及产业专家,分享前沿的网络安全研究和创新发展路径。 360数字安全集团漏洞研究院的安全专家受邀以《大道至简: 如何利用中间人攻击连续攻破汽车防线》为题
继续阅读440万用户记录被出售,黑客声称入侵WooCommerce电商平台 看雪学苑 看雪学苑 2025-04-10 18:00 近日,一名使用“Satanic”别名的黑客在Breach Forums上发帖,声称通过第三方集成导致了WooCommerce数据泄露,涉及超过440万用户和客户记录。这些记录包含了个人和商业的详细信息,如电子邮件、电话号码、物理地址、社交媒体链接,以及公司层面的数据,例如销售收
继续阅读漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825) 原创 烽火台实验室 Beacon Tower Lab 2025-04-10 09:46 1 漏洞概述 漏洞类型 身份验证绕过 漏洞等级 高 漏洞编号 CVE-2025-2825 漏洞评分 9.8 利用复杂度 低 影响版本 10.0.0 <= CrushFTP <= 10.8.3 11.0.0 <=
继续阅读列目录引起的一系列高危漏洞并获取一万五千元赏金记录 小乳酸 Z2O安全攻防 2025-04-09 22:30 0x01 前言 一次很偏的子域名列目录所引起的一系列高危漏洞,教你薅厂商羊毛。 0x02 漏洞背景 一次金融众测项目,称其主站子域名为target.com。 0x03 漏洞挖掘过程 这次出现问题的站点我们称之为https://asdq14aq.target.com,这个子域名其它工具都没有
继续阅读【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞 安全圈 2025-04-09 19:01 关键词 零日漏洞 谷歌近日发布了2025年4月Android安全更新,共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目,暴露了Android系统面临的严峻安全挑战。 技术分析显示,第一个高危零日漏洞CVE-2024-53197存在于Linux内核的ALSA设
继续阅读2025-04微软漏洞通告 火绒安全 火绒安全 2025-04-09 18:32 微软官方发布了2025年04月的安全更新。本月更新公布了202个漏洞,包含49个特权提升漏洞、33个远程执行代码漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、9个安全功能绕过漏洞、3个身份假冒漏洞,其中11个漏洞级别为“Critical”(高危),112个为“Important”(严重)。 建议用户及时使用火绒安全软
继续阅读微软4月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-04-09 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软四月补丁星期二共修复了134个漏洞,其中一个已遭活跃利用。在本轮修复中,11个漏洞是“严重”等级,都是远程代码执行 (RCE) 漏洞。 微软本次修复的漏洞包括: 49个提权漏洞 9个安全特性绕过漏洞 31个远程代码执行漏洞 17个信息泄露漏洞 14个拒绝
继续阅读微软4月补丁日多个产品安全漏洞风险通告:1个在野利用、11个紧急漏洞 奇安信 CERT 2025-04-09 09:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年4月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 远程桌面服务、Windows 轻量级目录访问协议服务等。 公开时间 2025-04-09 影响对象数
继续阅读