国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览 安全牛 2025-03-21 17:36 新闻速览 •国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》 •英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划 •警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序 •Cisco
继续阅读SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-20 22:10 SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南在Web应用安全中,敏感信息泄露是最常见且危害性最大的漏洞之一。通过敏感信息泄露,攻击者可以获取用户数据、系统配置、源代码甚至数据库信息,从而进一步发起更深层次的攻击。本文将从实战角度出发,详细介绍如何挖掘和利用敏感信息泄露漏洞,并提供防御建议。
继续阅读专题·漏洞人才培养 | 网络安全白帽人才运营及创新实践 原创 曾裕智 中国信息安全 2025-03-20 18:13 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 上海斗象信息科技有限公司 曾裕智 在当今数字化时代,网络安全已成为关乎国家安全、企业发展和个人隐私的关键领域。白帽人才作为专业的网络安全人员,通过对评测目标的网络和系统进行授权渗透测试,发现
继续阅读百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览 安全牛 2025-03-20 16:59 新闻速览 •目录 百度对“开盒”事件发布声明,已报案 •通过电子商务骗局获利1400万美元,Click Profit 被封禁 •WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞 •Infosys因第三方数据泄露事件达成17
继续阅读面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 安全内参 2025-03-20 14:44 关注我们 带你读懂网络安全 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 – 破解DeepSe
继续阅读【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击 安全圈 2025-03-19 19:01 关键词 攻击者正在积极利用 OpenAI 的 ChatGPT 基础设施中的一个服务器端请求伪造(SSRF)漏洞。该漏洞被标识为 CVE-2024-27564,尽管其被归类为中等严重程度,但已成为一个重大威胁。 根据网络安全公司 Veriti 的研究,这个漏洞已在众多实际攻击
继续阅读ChatGPT 漏洞被用于攻击美国政府组织机构 Ionut Arghire 代码卫士 2025-03-19 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Veriti 报道称,威胁行动者们正在利用ChatGPT去年的服务器端请求伪造 (SSRF) 漏洞,攻击金融实体和美国政府组织机构。 该漏洞CVE-2024-27564是一个影响 pictureproxy.php
继续阅读ChatGPT漏洞被超过10000个IP积极利用,攻击美国政府组织 安全客 2025-03-19 16:24 近期,网络安全公司 Veriti 发布的研究报告揭示,黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造(SSRF)漏洞(CVE-2024-27564)。尽管该漏洞的严重性被归类为中等,但它已经被大规模武器化,成为全球网络攻击的一个新威胁。更值得注意的是,尽管攻击者正
继续阅读【已复现】Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)安全风险通告 奇安信 CERT 2025-03-19 11:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 文件资源管理器欺骗漏洞 漏洞编号 QVD-2025-10439,CVE-2025-24071 公开时间 2025-03-11 影响量级 千万级 奇安信评级 高危 CVSS
继续阅读【安全圈】PHP 遭多重安全漏洞 “围攻”,应用程序风险骤增 安全圈 2025-03-18 19:02 关键词 安全漏洞 PHP 编程语言中被发现存在一系列安全漏洞,这可能使 Web 应用程序面临一系列攻击风险。这些漏洞影响到 PHP 的 HTTP 流包装器的多个方面,带来从信息泄露到拒绝服务等各种风险。 一个被追踪为 CVE – 2025 – 1861 的关键问题,涉及 HTTP 流包装器对重定
继续阅读SRC漏洞挖掘之越权漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-18 18:19 一、越权漏洞简介 1.1 什么是越权漏洞? 越权漏洞(Privilege Escalation)是指攻击者通过某种方式绕过系统的权限控制机制,访问到超出其正常权限范围的资源或功能。这种漏洞通常发生在Web应用中,尤其是在用户身份验证和权限管理不当的情况下。 1.2 越权漏洞的危害 数据泄露 :攻击
继续阅读【高危漏洞】NC importTemplate 接口存在XML实体注入漏洞 原创 moon 皓月当空w 2025-03-17 22:40 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : NC importTemplate 接口存在XML实体注入漏洞 漏洞出现时间 :2025年3月15日 影响等级 :高危 漏洞说明: portal/pt/portaltemplate/impo
继续阅读SRC漏洞挖掘之未授权漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-17 20:59 在Web应用安全中,未授权访问漏洞是一个常见且危险的安全问题。它允许攻击者无需合法权限即可访问敏感数据或功能,严重威胁系统的保密性和完整性。本文将详细介绍未授权访问漏洞的基本原理、分类、挖掘方法及防御策略。一、未授权访问漏洞的基本原理未授权访问漏洞通常源于应用程序在验证用户权限时存在疏忽。攻击者
继续阅读上周关注度较高的产品安全漏洞(20250310-20250316) 原创 CNVD CNVD漏洞平台 2025-03-17 18:49 一、境外厂商产品漏洞 1、Google Chrome代码执行漏洞(CNVD-2025-05091) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 132.0.6834.83之前版本存在代码执行漏洞,攻击者可
继续阅读雷神众测漏洞周报2025.3.10-2024.3.16 原创 雷神众测 雷神众测 2025-03-17 17:45 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读美杜莎勒索软件攻击300个关键基础设施,漏洞修复刻不容缓! 数世咨询 2025-03-17 16:00 美国政府警告称,自 2021 年 6 月以来,美杜莎(Medusa) 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。 01 组织架构演变与勒索运营模式 CISA、联邦调查局(FBI)和多国信息共享与分析中心(MS-ISAC)在一份联合警报中指出,Medusa 最初
继续阅读天融信发布《大模型组件漏洞与应用威胁安全研究报告》 阿尔法实验室 天融信阿尔法实验室 2025-03-17 13:39 近年来,大模型呈现出蓬勃发展的态势,为人工智能行业的技术进步源源不断地注入创新活力。然而,在大模型开发者致力于提升模型效果、拓展模型能力的同时,大模型的安全性问题也不容忽视,亟待给予高度关注。 随着大模型架构复杂性持续提升,其面临的攻击面不断增多。 究其根本,导致缺陷与漏洞频发
继续阅读白帽子的 “挖宝游戏”:一篇文章搞懂 SRC 漏洞挖掘!小白必看! 原创 骇客安全 骇客安全 2025-03-16 22:05 【开头悬念】 你知道吗?2023 年全球因网络漏洞损失超10 万亿美元!但有一群神秘人,他们每天在互联网上 “寻宝”—— 不是金银财宝,而是隐藏在代码里的 “定时炸弹”。他们就是白帽子黑客,而他们的战场,就是今天的主角SRC! 🌟什么是 SRC?全网最接地气解读 SRC=
继续阅读微软与VMware零日漏洞紧急修复指南 FreeBuf 2025-03-15 18:04 首席信息安全官(CISO)需督促管理员尽快修复Windows和VMware产品中的零日漏洞 ,避免其被广泛利用。 此外,Windows管理员还需留意一个已有公开利用证明的漏洞,威胁者很可能会对此发起攻击。 同时,使用OpenSSH进行安全远程登录的应用程序在发现两处中间人(MiTM)攻击和服务拒绝漏洞后,也需
继续阅读【高危漏洞】【POC公开】Apache Camel 任意命令执行漏洞 原创 moon 皓月当空w 2025-03-15 17:12 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : Apache Camel 任意命令执行漏洞 漏洞出现时间 :2025年3月13日 影响等级 :高危 漏洞说明: Apache Camel 中近期披露的一个安全漏洞(编号为 CVE –
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-15 13:02 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 ViewStateDecod
继续阅读Apache ERP开源框架OFBiz高危RCE 漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-15 09:01 无需身份验证,攻击者就能轻松拿下你的服务器,你必须立刻知道! 在数字化时代,企业的核心业务系统如同一座座数字化城堡,而开源软件则是这些城堡的基石。然而,当基石出现裂缝时,整个城堡的安全都将受到严重威胁。近期,Apache OFBiz——一款广泛应用于企业资源
继续阅读SRC漏洞挖掘之SQL注入漏洞挖掘 原创 炽汐安全屋 炽汐安全屋 2025-03-14 23:43 一、SQL注入漏洞简介 1.1 什么是SQL注入? SQL注入(SQL Injection)是一种常见的Web应用安全漏洞。攻击者通过构造特殊的输入,注入到Web应用程序的数据库SQL语句中,从而操纵数据库执行恶意操作。 1.2 SQL注入的危害 数据泄露 :攻击者可以窃取敏感数据,如用户密码、信用
继续阅读【安全圈】SuperBlack 攻击者利用两个 Fortinet 漏洞部署勒索软件 安全圈 2025-03-14 19:03 关键词 勒索软件 2025 年 1 月底至 3 月初,Forescout 旗下 Vedere 实验室的网络安全研究人员发现了一系列利用关键Fortinet 漏洞的复杂入侵行为。 此次攻击被归咎于一个新发现的威胁行为者“Mora_001”,最终导致部署了一种名为“SuperB
继续阅读微软2025年3月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2025-03-14 17:15 微软官方发布3月安全更新 请及时安装补丁修复 补丁概述 2025年3月11日,微软官方发布了3月安全更新,针对57个Microsoft CVE和10个non-Microsoft CVE进行修复。Microsoft CVE中,包含6个严重漏洞(Critical)、50个重要
继续阅读顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天;多平台SSRF漏洞遭遇协同攻击,逾400个IP同时启动 | 牛览 安全牛 2025-03-14 16:32 新闻速览 •顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天 •导致1.8万名客户数据泄露,澳大利亚FIIG因网络安全失误遭起诉 •因泄露用户信息被罚款67亿韩元,韩国法院驳回Meta上诉 •多平台SSRF漏洞遭遇协同攻击,逾400个
继续阅读紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201 安全客 2025-03-14 15:45 近期,谷歌、苹果和微软联合发布了紧急安全补丁,修复了一个正在被恶意利用的关键零日漏洞。该漏洞被标记为CVE-2025-24201,属于GPU上的越界写入漏洞,影响了多个平台和浏览器。苹果的安全工程与架构团队(Apple SEAR)最早在2025年3月5日报告了这一漏洞,并确认
继续阅读腾讯云安全中心推出2025年2月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-14 08:23 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 Vie
继续阅读MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览 安全牛 2025-03-13 18:36 新闻速览 •英国网络安全行业收入增长12%突破130亿英镑 •机器身份数量超过人类用户4万倍,风险增加7.5倍 •MFA告急!黑客利用高级技术绕过保护 •微软修复6个零日漏洞和10个高风险漏洞 •新型Ebyte勒索软件来袭,采用先进加密策略攻击
继续阅读