一款用于检测jsonp及cors漏洞的burp插件
一款用于检测jsonp及cors漏洞的burp插件 yuebusao 夜组安全 2024-09-21 10:30 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友
继续阅读标签: 信息泄露
ScopeSentry-资产测绘、信息收集、漏洞扫描工具
ScopeSentry-资产测绘、信息收集、漏洞扫描工具 黑白之道 2024-09-21 08:57 网址 • 官网:https://www.scope-sentry.top • Github: https://github.com/Autumn-27/ScopeSentry • 扫描端源码:https://github.com/Autumn-27/ScopeSentry-Scan 介绍 Scop
继续阅读警惕风险突出的100个高危漏洞(下)
警惕风险突出的100个高危漏洞(下) 安小圈 2024-09-21 08:45 安小圈 第507期 高危漏洞 风险(下) 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是
继续阅读【已复现】Ivanti Endpoint Manager 反序列化致远程代码执行漏洞(CVE-2024-29847)
【已复现】Ivanti Endpoint Manager 反序列化致远程代码执行漏洞(CVE-2024-29847) 长亭安全应急响应中心 2024-09-20 20:19 Ivanti Endpoint Manager(EPM) 是一款企业级的设备管理解决方案,提供设备配置、补丁管理和软件分发等功能。2024 年 9 月,互联网公开披露了该系统中的一个远程代码执行漏洞(CVE-2024-2984
继续阅读微软SQL服务器漏洞被用于攻击承包商软件
微软SQL服务器漏洞被用于攻击承包商软件 Dark Reading 代码卫士 2024-09-20 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Huntress 公司的安全研究人员提到,威胁行动者们正在利用管路系统、HVAC、混凝土子行业中的活跃利用,攻击建筑行业一般承包商常用的Foundation会计软件。 研究人员最初在9月14日追踪活动时发现该威胁,他们提到,“引起我们
继续阅读【已复现】Ivanti Endpoint Manager反序列化漏洞(CVE-2024-29847)安全风险通告第二次更新
【已复现】Ivanti Endpoint Manager反序列化漏洞(CVE-2024-29847)安全风险通告第二次更新 奇安信 CERT 2024-09-20 17:03 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 20
继续阅读信息安全漏洞周报(2024年第38期 )
信息安全漏洞周报(2024年第38期 ) CNNVD CNNVD安全动态 2024-09-20 14:15 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月9日至2024年9月15日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞713个。 接报漏洞情况 本周CNNVD接报漏洞28582个,其中信息技术产品漏洞(通用型漏洞)191个
继续阅读下一代SAST |灵脉SAST3.5智能AI漏洞验证技术智慧再升级!
下一代SAST |灵脉SAST3.5智能AI漏洞验证技术智慧再升级! 原创 Xmirror 悬镜安全 2024-09-20 09:30 多模智能引擎高阶进化 检出率、检出精度再创新高 01 智能AI漏洞验证 AI已成为新型的基础设施,灵脉SAST多模智能引擎继智能代码修复、融合SCA和联动XSBOM数字供应链安全情报后,V3.5版本全新支持智能AI漏洞验证。 传统的SAST工具依赖于预定义的规则或
继续阅读谷歌云被曝重大漏洞:或影响数百万台服务器
谷歌云被曝重大漏洞:或影响数百万台服务器 安全内参 2024-09-19 18:06 9月16日,美国网络安全公司Tenable的研究人员发文称,其发现了名为“CloudImposer”的远程代码执行(RCE)漏洞,攻击者可能利用该漏洞劫持影响GCP(Google Cloud Composer,谷歌云平台上的一项托管式工作流程编排服务)的内部软件依赖项。 云中的供应链攻击 具体来说,该漏洞用于编排
继续阅读【安全科普】OSS存储桶漏洞总结
【安全科普】OSS存储桶漏洞总结 学网络安全到 开源聚合网络空间安全研究院 2024-09-19 16:53 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 简介 OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。 OSS工作原理: 数据以对象(Object)的形式存储在
继续阅读上周关注度较高的产品安全漏洞(20240909-20240915)
上周关注度较高的产品安全漏洞(20240909-20240915) 国家互联网应急中心CNCERT 2024-09-19 11:58 一、境外厂商产品漏洞 1、 Siemens SIMATIC SCADA和PCS 7 systems远程代码执行漏洞 SIMATIC Information Server用于报告和可视化存储在SIMATIC process Historian中的过程数据。SIMATI
继续阅读Gmail 中的 HTML 表单注入漏洞
Gmail 中的 HTML 表单注入漏洞 原创 骨哥说事 骨哥说事 2024-09-18 22:22 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 前言 你是否知道 Gmail 允许使用 HT
继续阅读手把手edusrc漏洞挖掘和github信息收集
手把手edusrc漏洞挖掘和github信息收集 想当文人的黑客 Z2O安全攻防 2024-09-18 21:07 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任
继续阅读今日更新第十章录播!0day windows
今日更新第十章录播!0day windows 看雪课程 看雪学苑 2024-09-18 18:05 今日更新: – 10.2 double free漏洞挖掘实战(作业) 10.3 uaf漏洞挖掘实战(作业) 10.4 本章小结 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因
继续阅读雷神众测漏洞周报2024.09.09-2024.09.17
雷神众测漏洞周报2024.09.09-2024.09.17 原创 雷神众测 雷神众测 2024-09-18 17:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读漏洞挖掘 | 记某大学信息服务平台密码重置缺陷
漏洞挖掘 | 记某大学信息服务平台密码重置缺陷 原创 zkaq – 98k 掌控安全EDU 2024-09-17 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这篇文章是在一个大学的站点进行测试的时候发现的,也是直接拿fofa找该域名相
继续阅读黑盒测试 | 挖掘.NET程序中的反序列化漏洞
黑盒测试 | 挖掘.NET程序中的反序列化漏洞 白帽子左一 白帽子左一 2024-09-17 12:01 扫码领资料 获网安教程 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 通过不安全反序列化漏洞远程执行代码 img 今天,我将回顾 OWASP 的十大漏洞之一:不安全反序列化,重点是 .NET 应用程序上反序列化漏洞的利用。 📝$ _序列化_与_
继续阅读2024年推出的11个顶级漏洞悬赏项目
2024年推出的11个顶级漏洞悬赏项目 晶颜123 FreeBuf 2024-09-16 09:30 漏洞悬赏计划仍然是2024年网络安全战略的重要组成部分,为组织提供了从各种网络安全专业人员和研究人员那里获得帮助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等领先的漏洞奖励平台将道德黑客与组织联系起来,为漏洞披露和解决方案提供结构化框架,并为成
继续阅读漏洞预警 | 泛微E-Cology SQL注入漏洞
漏洞预警 | 泛微E-Cology SQL注入漏洞 浅安 浅安安全 2024-09-16 08:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03
继续阅读漏洞挖掘 | 记一次针对blade站点的渗透测试
漏洞挖掘 | 记一次针对blade站点的渗透测试 原创 zkaq – Tobisec 掌控安全EDU 2024-09-15 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 浅谈 哈喽,师傅们好! 这篇文章呢,主要是我在微信公众号通
继续阅读【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息 安全圈 2024-09-14 19:02 关键词 数据泄露 近日,苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit,该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者
继续阅读苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码
苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码 看雪学苑 看雪学苑 2024-09-14 17:59 近日,苹果公司的混合现实头显设备Apple Vision Pro被曝光存在安全漏洞, 攻击者可 通过分析用户的眼动追踪数据, 破解用户在虚拟键盘上输入的内容,成功复现人们通过眼动输入的密码、PIN码等敏感信息。 这是一种 新型攻击方法 ,被命名为GAZEploit ,该攻击方法利用了
继续阅读Apple Vision Pro漏洞暴露虚拟键盘输入
Apple Vision Pro漏洞暴露虚拟键盘输入 THN 代码卫士 2024-09-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复 Vision Pro 中的一个严重漏洞 (CVE-2024-40865),它本可刀子攻击者暴露在设备虚拟键盘上输入的的数据。 该攻击名为“GAZEploit”,是“一种新型攻击,可从头像中提取与眼睛相关的生物特征,重构通过受注视控
继续阅读CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报 中国信息安全 2024-09-14 17:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷
继续阅读Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告
Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告 奇安信 CERT 2024-09-13 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 2024-0
继续阅读「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞
「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞 冷漠安全 冷漠安全 2024-09-12 18:00 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行
【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-09-11 23:44 漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意代码,获取服务器控制权限和敏感信息。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读2024-09微软漏洞通告
2024-09微软漏洞通告 火绒安全 火绒安全 2024-09-11 19:59 微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读微软9月补丁星期二到底修复了4个还是5个0day?
微软9月补丁星期二到底修复了4个还是5个0day? 综合编译 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复了79个漏洞,其中7个是“严重”等级,71个是“重要”等级,还有1个是中危等级。虽然和上月相比,漏洞总数差不多;但本次修复的已遭活跃利用的漏洞数量并不寻常。 在这些已修复漏洞中,1个被列为“公开已知”,另外4个是已遭活跃利用
继续阅读微软2024年9月补丁日重点漏洞安全预警
微软2024年9月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-09-11 17:19 补丁概述 2024 年 9 月 10 日 ,微软官方发布了 9 月安全更新,针对 79 个 Microsoft CVE 进行修复。其中,包含 7 个严重漏洞(Critical)、 71 个重要漏洞(Important)和 1 个中危漏洞(Moderate) 。从漏
继续阅读