行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 中国信息安全 2024-11-25 11:24 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用
继续阅读标签: 复现
漏洞赏金技巧:初学者指南(2024)#1
漏洞赏金技巧:初学者指南(2024)#1 原创 再说安全 再说安全 2024-11-25 11:19 本文阅读大约需要10分钟; 本文整理提炼了一份漏洞赏金技巧清单,旨在为初学者提供参与漏洞赏金项目的实用指南。该清单以 Web 站点渗透测试为基础,循序渐进地介绍了漏洞挖掘的核心步骤和常用工具,并通过提供可操作的命令示例,降低入门门槛,即使是初学者也能轻松上手。清单中涵盖的技术和方法,例如子域名枚举
继续阅读漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞
漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-25 10:29 漏洞描述 智互联(深圳)科技有限公司SRM智联云采系统针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效
继续阅读360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 2024-11-25 10:22 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》
继续阅读Funbox 2靶场复现
Funbox 2靶场复现 原创 LULU 红队蓝军 2024-11-25 10:01 1、信息收集 IP arp-scan -l netdiscover -r 192.168.56.0/24 目录 扫描端口探测出robots.txt 文件。访问,但没有有用信息,使用工具进行目录扫描 dirsearch -u http://192.168.56.103 -i 200 端口 nmap -A -sV –
继续阅读SRM智联云采系统receiptDetail SQL注入漏洞复现及POC
SRM智联云采系统receiptDetail SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-25 09:26 FOFA title=="SRM 2.0" 漏洞复现 POC GET /adpweb/api/srm/delivery/receiptDetail?pageSize=1&pageNumber=1&ord
继续阅读安全热点周报:黑客利用两个零日漏洞攻破 Palo Alto Networks 的数千个防火墙
安全热点周报:黑客利用两个零日漏洞攻破 Palo Alto Networks 的数千个防火墙 奇安信 CERT 2024-11-25 09:05 安全资讯导视 • 国家数据局印发《可信数据空间发展行动计划(2024—2028年)》 • 《工业和信息化领域数据安全合规指引》正式发布 • 国家网络安全通报中心:多个与某大国政府有关的境外黑客组织持续攻击国内单位企业 PART01 漏洞情报 1.App
继续阅读发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! Urkc安全 2024-11-25 09:02 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》 透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发
继续阅读【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477)
【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477) 启明星辰安全简讯 2024-11-25 08:59 一、漏洞概述 漏洞名称 7-Zip代码执行漏洞 CVE ID CVE-2024-11477 漏洞类型 整数下溢 发现时间 2024-11-25 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用
继续阅读财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞
财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞 独眼情报 2024-11-25 08:35 全球千强企业巨头暴露的3万个API和10万个API漏洞 一份关于财富1000强和法国CAC 40指数企业API安全风险的惊人发现。 通过结合先进的子域名枚举、AI驱动的指纹识别和开源情报技术,Escape安全研究团队对财富1000强和CAC 40企业的域名进行了爬取。我们发现了
继续阅读【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取
【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取 Undoubted Security 2024-11-25 08:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: fofa:app="泛微-OA(e-cology)
继续阅读致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战
致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战 安全客 2024-11-25 07:01 近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。 报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全
继续阅读雷神众测漏洞周报2024.11.18-2024.11.24
雷神众测漏洞周报2024.11.18-2024.11.24 原创 雷神众测 雷神众测 2024-11-25 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【SQL注入】用友NC process SQL注入漏洞
【SQL注入】用友NC process SQL注入漏洞 原创 1ang 小羊安全屋 2024-11-25 06:49 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PA
继续阅读API攻防 | Web API 安全漏洞挖掘指南!
API攻防 | Web API 安全漏洞挖掘指南! 匿名白帽子 WK安全 2024-11-25 06:40 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏
继续阅读一文读懂CSRF漏洞
一文读懂CSRF漏洞 simple学安全 simple学安全 2024-11-25 06:38 目录 简介 CSRF漏洞全称跨站请求伪造漏洞,攻击者利用目标用户的身份,以目标用户的名义执行相关操作。在目标用户登录了网站的前提下,点击攻击者发送的恶意url,才能触发漏洞。 常见的修改密码、分享文章、点赞、发信息等功能处,都可能存在CSRF漏洞。 漏洞利用 测试CSRF漏洞,主要是使用BurpSuit
继续阅读违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览
违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览 安全牛 2024-11-25 06:30 点击蓝字·关注我们 / aqniu 新闻速览 •四部门联合开展“清朗·网络平台算法典型问题治理”专项行动 •违反《网络安全法》相关规定,快手被依法处罚 •远程链式WiFi攻击手法曝光,传统物理接近已非必需 •APT组织Gels
继续阅读超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞
超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞 鹏鹏同学 黑猫安全 2024-11-25 03:36 数千台Palo Alto Networks防火墙据报遭到黑客攻击,攻击者利用了最近才修补的零日漏洞(CVE-2024-0012和CVE-2024-9474)在PAN-OS中。 CVE-2024-0012是Palo Alto Networks
继续阅读科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞
科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞 原创 kingkong 脚本小子 2024-11-25 03:33 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 科荣AIO系统UtilServlet接口处存在代
继续阅读Windows Kerberos严重漏洞,数百万台服务器遭攻击
Windows Kerberos严重漏洞,数百万台服务器遭攻击 天唯科技 天唯信息安全 2024-11-25 03:27 E安全消息,Windows Kerberos身份认证协议中存在一个严重漏洞,对数百万服务器构成了重大威胁。微软在11月补丁星期二更新中解决了此问题。 Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。为了利用这个漏洞,未经身份验证的行为者
继续阅读破解命令注入漏洞:详解原理、绕过技巧与防护策略
破解命令注入漏洞:详解原理、绕过技巧与防护策略 原创 VlangCN HW安全之路 2024-11-25 03:00 在Web安全领域中,命令注入漏洞(OS Command Injection)一直是一个危害严重的安全问题。本文将深入浅出地介绍命令注入漏洞的原理、检测方法、利用技巧以及防护措施。 一、什么是命令注入漏洞? 命令注入漏洞,也称为shell注入,是一种允许攻击者在目标服务器上执行任意操
继续阅读【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 异步图书 道一安全 2024-11-25 03:00 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,Hack
继续阅读「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 冷漠安全 冷漠安全 2024-11-25 02:58 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞
【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-11-25 02:42 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文
继续阅读海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞
海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞 Superhero nday POC 2024-11-25 02:12 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读文件解析常见漏洞总结
文件解析常见漏洞总结 unic0rn 篝火信安 2024-11-25 02:00 文件解析漏洞主要由于网站管理员操作不当或者Web容器自身的漏洞,导致一些特殊构造的其他格式文件被 IIS、apache、nginx 或其他 Web容器在某种情况下解释成脚本文件执行,导致黑客可以利用该漏洞实现非法文件的解析。 本文总结一些常见Web中间件的文件解析漏洞。 一、IIS 6.0 使用6.x版本的服务器,大
继续阅读Redis未授权主从复制RCE复现
Redis未授权主从复制RCE复现 原创 kiand 网安知识库 2024-11-25 02:00 漏洞描述 Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相
继续阅读【漏洞复现】明源云ERP报表 GetErpConfig.aspx存在信息泄露漏洞
【漏洞复现】明源云ERP报表 GetErpConfig.aspx存在信息泄露漏洞 原创 清风 白帽攻防 2024-11-25 01:14 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 明源云ERP系统是一款云端部署的企业管理解决方案,具备高效、灵活和可定制的
继续阅读漏洞挖掘-小白编写人生中第一个漏洞利用脚本
漏洞挖掘-小白编写人生中第一个漏洞利用脚本 原创 小白 吉吉说安全 2024-11-25 00:45 上次讲到了小白如何通过网络安全赚取自己人生中的第一桶金 ,上上篇文章的预告小白如何从脚本小子编写一个简单的脚本拖到现在,终于有时间来更新了。 作为小白我们在编写脚本的时候选择编程语言尽量选择好上手的,市面上常见的有java、php、python、 golang 等等 , java编写图形化 界面可
继续阅读漏洞预警 | 安克医疗急救办公管理系统SQL注入漏洞
漏洞预警 | 安克医疗急救办公管理系统SQL注入漏洞 浅安 浅安安全 2024-11-25 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 安克医疗急救办公管理系统是一款专为医疗急救领域设计的信息管理系统,旨在提高急救工作的效率和准确性。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 安克医
继续阅读