Bombon 方法论:我将如何测试Web缓存漏洞
Bombon 方法论:我将如何测试Web缓存漏洞 船山信安 2025-02-10 01:02 什么是Web缓存漏洞 Web缓存漏洞是指由于缓存机制配置或实现不当,导致攻击者可通过操纵缓存内容获取敏感信息、篡改数据或破坏服务安全性的安全风险。常见攻击包括缓存投毒 (注入恶意响应误导用户)、缓存欺骗 (诱骗缓存存储私密数据)以及未授权缓存 (泄露本应受限的内容)。防御需严格校验缓存内容、限制敏感数据缓
继续阅读标签: 信息泄露
DeepSeek 又被攻击,本地化部署是否安全?
DeepSeek 又被攻击,本地化部署是否安全? 原创 sanlihesec 独角鲸网络安全实验室 2025-02-09 23:30 DeepSeek 再次遭受大规模网络攻击,引发了公众对其服务稳定性和数据安全性的担忧。在这样的背景下,许多人开始探讨本地化部署 DeepSeek 是否能够有效避免安全问题。 一、DeepSeek 遭遇攻击的背景与影响 DeepSeek 作为中国新兴的 AI 平台,自
继续阅读渗透实战 | 微信小程序EDUSRC渗透漏洞复盘
渗透实战 | 微信小程序EDUSRC渗透漏洞复盘 不秃头的安全 2025-02-09 23:21 微信小程序EDUSRC渗透漏洞复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论, 严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?知识星球最后一次优惠,续费也有优惠私聊~~考证请加联系vx咨询 0x1 前言 哈喽,师傅们这次又来给师傅们分享
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧
记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读APP渗透测试 — 从代码讲逻辑漏洞
APP渗透测试 — 从代码讲逻辑漏洞 网络安全者 2025-02-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/9a5f31d09414 00:03 – 探讨PHP程序中的逻辑漏洞问题 在本次课程中,首先介绍了使用PHP 1.6版本的程序,通过一个具体示例,详细讲解了后台逻辑漏洞的问题。具体来说,
继续阅读英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击
英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击 Rhinoer 犀牛安全 2025-02-09 09:44 Nominet 是 .UK 官方域名注册机构,也是最大的国家代码注册机构之一,该公司已确认其网络两周前遭 Ivanti VPN 零日漏洞攻击。 该公司管理和运营超过 1100 万个 .uk、.co.uk 和 .gov .uk 域名以及其他顶级域名,包括 .cymru
继续阅读实战如何通过Druid提升至高危漏洞
实战如何通过Druid提升至高危漏洞 实战安全研究 2025-02-09 09:06 免责声明 本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。 本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。 本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技
继续阅读人工智能和云漏洞并不是当今CISO 面临的唯一威胁
人工智能和云漏洞并不是当今CISO 面临的唯一威胁 铸盾安全 河南等级保护测评 2025-02-08 16:01 随着云基础设施以及最近的人工智能 (AI) 系统成为攻击者的主要目标,安全领导者正集中精力保护这些备受关注的领域。他们这样做也是正确的,因为网络犯罪分子转向新兴技术来发起和扩大越来越复杂的攻击。 然而,对新兴威胁的高度关注使得人们很容易忽视传统的攻击媒介,例如人为的社会工程学和物理安全
继续阅读【漏洞预警】JeecgBoot SQL注入漏洞
【漏洞预警】JeecgBoot SQL注入漏洞 cexlife 飓风网络安全 2025-02-08 13:58 漏洞描述: JеесɡBооt v.3.7.2中的SQL注入漏洞允许远程攻击者通过ɡеtTоtаlDаtа组件获取敏感信息。 影响产品及版本:JeecgBootv.3.7.2攻击场景:攻击者可能通过getTotalData组件上传恶意文件,获取敏感信息。修复建议:JeecgBoot官方发
继续阅读【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 安全圈 2025-02-08 11:02 关键词 恶意软件 科技媒体 bleepingcomputer 昨日(2 月 6 日)发布博文,报道称微软发出示警,有攻击者正利用网上公开的 ASP.NET 静态密钥,通过 ViewState 代码注入攻击部署恶意软件。 微软威胁情报专家近期发现,一些开发者在软件开发中使用了
继续阅读Confluence未授权漏洞分析(CVE-2023-22515)
Confluence未授权漏洞分析(CVE-2023-22515) 蚁景网安 2025-02-08 08:30 0x01 漏洞描述 Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶
继续阅读信息安全漏洞周报(2025年第4期)
信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27
继续阅读信息安全漏洞周报(2025年第5期)
信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息
继续阅读某系统webpack接口泄露引发的一系列漏洞
某系统webpack接口泄露引发的一系列漏洞 原创 zkaq – 腾风起 掌控安全EDU 2025-02-08 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 信息搜集 这里找到从小穿一条裤子长大的兄弟,要挟他交出来他的统一账号,否则把小时候的照片挂网上
继续阅读从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用
从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用 原创 sanlihesec 独角鲸网络安全实验室 2025-02-08 03:51 大家好!今天,我想和大家聊聊一个非常有趣的话题,它源于最近大火的电影《哪吒2》。你们还记得那个情节吗?无量仙翁去天牢,结果需要扫脸才能打开门。这本来是个高科技的设定,但问题来了,之前他被哪吒和敖丙揍得很惨,脸都变形了,系统直接识别不了。没办法,只能重新录入现
继续阅读【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞
【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞 聚铭网络 2025-02-08 03:18 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 国家数据局《数据领域常用名词解释 (第二批)》公开征求意见 2 重磅!我国启动抗量子加密算法征集活动 3 发现2650个DeepSeek山寨域名,网络安全风险警示
继续阅读黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件
黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件 邑安科技 邑安全 2025-02-08 02:36 更多全球网络安全资讯尽在邑安全 据观察,威胁行为者利用 SimpleHelp 远程监控和管理 (RMM) 软件中最近披露的安全漏洞作为似乎是勒索软件攻击的前兆。 某网络安全公司的在新闻报道中表示,此次入侵利用了现已修复的漏洞,初步获取了对某个未公开目标网络的访问权限,并维持了持久
继续阅读渗透测试 | 文件读取漏洞实战利用
渗透测试 | 文件读取漏洞实战利用 subjcw 神农Sec 2025-02-08 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/4017 作者:subjcw 0x1 Nginx配置文件利用 第一处文件读取
继续阅读黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击
黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击 Rhinoer 犀牛安全 2025-02-07 16:00 攻击者正在利用 Aviatrix Controller 实例中一个严重的远程命令执行漏洞(CVE-2024-50603)来安装后门和加密矿工。 Aviatrix 控制器是 Aviatrix 云网络平台的一部分,可增强多云环境的网络、安全性和运营可视性。它可供企业、
继续阅读【漏洞预警】Apache Struts2代码注入漏洞
【漏洞预警】Apache Struts2代码注入漏洞 cexlife 飓风网络安全 2025-02-07 11:39 漏洞详情: Nginx官方发布安全公告,披露了Nginx Plus和Nginx Open Source中存在的一处凭证管理不当漏洞,该漏洞是由于当基于名称的虚拟主机配置为使用TLS 1.3和OpenSSL共享相同的IP地址和端口组合时,先前经过身份验证的攻击者可以使用会话恢复来绕过
继续阅读DeepSeek 相关安全事件分析报告
DeepSeek 相关安全事件分析报告 原创 DRP 鹰眼威胁情报中心 2025-02-07 10:55 一、引言 近期,DeepSeek 作为一家迅速崛起的中国 AI 公司,凭借其先进的 AI 模型吸引了全球关注。然而,随着其知名度的提升,各类安全问题也接踵而至。网络犯罪分子纷纷利用 DeepSeek 的热度,发起多种恶意攻击活动,给用户带来了极大的安全风险。本报告将对近期 DeepSeek 相
继续阅读微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 看雪学苑 看雪学苑 2025-02-07 09:59 微软近期发出重要安全示警,指出攻击者正在利用网上公开的ASP.NET静态密钥,通过ViewState代码注入攻击部署恶意软件。 微软威胁情报专家发现,一些开发者在软件开发中使用了在代码文档和代码库平台上公开的ASP.NET validationKey和decryption
继续阅读Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现
Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2025-02-07 07:08 漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案,主
继续阅读宏景eHRDisplayFiles存在任意文件读取漏洞
宏景eHRDisplayFiles存在任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-07 06:53 一、漏洞简介 宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考
继续阅读上周关注度较高的产品安全漏洞(20250120-20250126)
上周关注度较高的产品安全漏洞(20250120-20250126) 中国电信安全 2025-02-07 04:01 一、境外厂商产品漏洞 1、Adobe InDesign越界读取漏洞**** Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。 参考链接: https://www.cnv
继续阅读实战 | 微信小程序EDUSRC渗透漏洞复盘
实战 | 微信小程序EDUSRC渗透漏洞复盘 原创 神农Sec 神农Sec 2025-02-07 02:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽,师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程,这次跟着一个师傅学习,然后自己动手去挖,也是学习到了不了
继续阅读小技巧 – 文件读取漏洞原来也这么严重
小技巧 – 文件读取漏洞原来也这么严重 原创 Vipersec SecretTeam安全团队 2025-02-07 01:42 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适
继续阅读漏洞预警 | 泛微E-Cology信息泄露漏洞
漏洞预警 | 泛微E-Cology信息泄露漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03 漏洞
继续阅读漏洞预警 | 通达OA未授权访问漏洞
漏洞预警 | 通达OA未授权访问漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 获取敏感信息 简述: 通达OA的/
继续阅读【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043)
【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043) cexlife 飓风网络安全 2025-02-06 13:54 漏洞描述: 在libхml22.11.0之前的版本中,хinсludе.с文件中的хmlXInсludеAddNоdе函数存在一个使用后释放(uѕе-аftеr-frее)漏洞。 影响产品: 2.0.0<=libxml2<2.11.0 攻击场景: 攻击
继续阅读