【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE xiachuchunmo 银遁安全团队 2024-11-24 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 资产测绘 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简
继续阅读【漏洞复现】CVE-2024-24809 混子Hacker 混子Hacker 2024-11-24 16:25 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 生活不可能像你想象的那么好,但也不会像你想象的那么糟。人的脆弱和坚强都超乎自己
继续阅读团队首个系列课程开班!系统0day安全-IOT设备漏洞挖掘 SecNL安全团队 2024-11-24 10:45 引言: “团队与看雪合作第一篇系列教学课程正式上线啦!” 注:以下文章来自看雪平台。 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重
继续阅读使用未知技术发现多个 XSS 漏洞 原创 星空浪子 星空网络安全 2024-11-24 04:08 今天我将讨论使用不同技术的多种 XSS 攻击,这是我在各种漏洞赏金计划中发现的。 XSS:(跨站点脚本) 是一种安全漏洞,当攻击者将恶意脚本注入其他用户查看的网页时就会发生这种情况。XSS 攻击旨在在受害者浏览器的上下文中执行恶意脚本,从而允许攻击者窃取敏感信息。例如,在 javascript 编程
继续阅读「漏洞复现」爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 信息泄露漏洞 冷漠安全 冷漠安全 2024-11-24 03:48 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读某短视频系统视频知识付费系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-11-24 03:46 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 FastAdmin框架短视频系统/视频知识付费源码/附带小说系统**** 系统视频支持包月、单独购买、观影卷等功能 源码附带小说系统 源码需要配置高服务器和VDN加速 Fofa指纹:”testvideo://logi
继续阅读【漏洞复现】通达OA submenu存在前台SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台
继续阅读JeecgBoot小于3.6.0版本存在SQL注入漏洞 船山信安 2024-11-23 16:01 接口/sys/api/queryFilterTableDictInfo存在SQL注入漏洞 通过审计jeecgboot 3.6.0源代码,发现jeecgboot表接口存在SQL注入漏洞,通过构造表名和字段名,直接获取到数据库中的数据。 漏洞代码: 参数table、text、code可以直接带入到前端u
继续阅读7-Zip 文件压缩工具中的漏洞 原创 很近也很远 网络研究观 2024-11-23 15:51 7-Zip 文件压缩工具中 发现了一个漏洞, 允许攻击者通过特制的存档远程执行恶意代码。 为了解决这个问题,开发人员发布了一个必须手动安装的更新,因为该程序不支持自动安装更新。 该 漏洞 报告为 CVE-2024-11477,CVSS 严重性评分为 7.8,是由于使用 Zstandard 算法处理压缩
继续阅读「漏洞复现」微信活码系统 ucenter/index SQL注入漏洞 冷漠安全 冷漠安全 2024-11-23 12:35 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作
继续阅读SBSCAN Spring框架渗透,这一个工具就够了|漏洞探测 安全帮 2024-11-23 11:36 0x01 工具介绍 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 下载地址在末尾 0x02 功能简介核心特性最全的敏感路径字典:最全的springboot站点敏感路径字典,帮你全
继续阅读某一cms后台代码执行漏洞 船山信安 2024-11-23 10:35 前言 最近在漏洞平台看到ucms后台漏洞,便寻找了一下发现有开源源码,分析一下 漏洞复现 首先漏洞发生在后台,也就是需要先登录后台可利用,有点鸡肋,但还是要学习一下 后台管理中心->文件管理->任意选一个编辑->保存->抓包 然后访问该文件名 漏洞分析 uncms/index.php 44行 也就是说获
继续阅读CVE-2024-0012|Palo Alto Networks PAN-OS身份验证绕过漏洞(POC) alicy 信安百科 2024-11-23 10:25 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力,可
继续阅读CVE-2024-52301|Laravel注入漏洞 alicy 信安百科 2024-11-23 10:25 0x00 前言 Laravel 是一个后端框架,提供了构建现代 Web 应用所需的所有功能,例如路由、验证、缓存、队列、文件存储等等。 0x01 漏洞描述 由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数,当register_argc_argv PHP指令被设置为on时,攻
继续阅读winzip、7z 压缩软件存在漏洞需警惕以及一条不可信的 Linux 0day 漏洞预警 独眼情报 2024-11-23 07:09 安全研究人员发现了广泛使用的文件归档工具 WinZip 中的一个严重漏洞,该漏洞可能允许攻击者绕过关键的安全措施并可能在用户的系统上执行恶意代码。 该漏洞被标记为 CVE-2024-8811,CVSS 评分为 7.8(高),影响 WinZip 76.8 版之前的所
继续阅读全新发布!通用2.0漏洞奖励计划及第五期活动 补天平台 2024-11-23 06:08 EVENT 通用2.0漏洞奖励计划 -重磅发布- 通用2.0发布+通用专项活动 在当今数字环境中,网络安全挑战日益严峻。补天通用2.0致力于提供更客观、科学、严谨和负责的响应流程。采用标准化评估体系确保准确性;建立科学评分体系;确保漏洞及时响应。我们相信,唯有以客观与负责的态度,才能与白帽携手一同提升我国网络
继续阅读某CMS权限绕过漏洞(0Day) Jie安全 2024-11-23 05:01 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 不会存在相关的POC,要POC的师傅可以划走啦,这个文章记录一下自己在给xx做代码审计的一次权限绕过,大致源码方式是(得到目标->提取指纹-&
继续阅读D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) Superhero nday POC 2024-11-23 03:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(2) 漏洞战争 漏洞战争 2024-11-23 02:26 87、Covert Transmission in Water-to-Air Optical Wireless Communication Systems 隐蔽通信通过确保合法接收者(Bob)能够满意地解码,同时隐藏信息传输,使其不被警惕的对手(Willie)发现。在本文中,我们提出了一
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(4) 漏洞战争 漏洞战争 2024-11-23 02:26 256、PrivGrid: Privacy-Preserving Individual Load Forecasting Service for Smart Grid 基于智能电表的个体负载预测在智能电网和家庭能源管理中的应用越来越广泛。传统的负载预测系统从用户的智能电表中以明文形式收集
继续阅读5th域安全微讯早报【20241123】282期 网空闲话 网空闲话plus 2024-11-23 01:25 2024-11-23 星期六**Vol-2024-282 今日热点导读 **1. 乘客要求审计TSA识别技术的隐私与准确性 2. 美国司法部要求谷歌剥离Chrome以严重搜索垄断 3. 《2024年医疗保健网络安全和弹性法案》聚焦加强医疗数据保护 4. 英国饮用水供应因网络事件频发而中断
继续阅读AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址 会杀毒的单反狗 军哥网络安全读报 2024-11-23 01:00 导读 流行的远程桌面应用程序 AnyDesk 中发现一个严重漏洞,可能允许攻击者泄露用户的 IP 地址。 该漏洞被编号为 CVE-2024-52940,影响 Windows 系统上的 AnyDesk 8.1.0 及更早版本。 安全研究员 Ebrahim Shafiei (
继续阅读漏洞预警 | D-Link NAS设备远程代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10915 0x01 危险等级 – 高危 0x02 漏洞概述 D-Link NAS设备是一类专门设计用于家庭和小型企业的网络存储设备。 0x03 漏洞详情 CVE-2024-10915 漏洞类型: 命令注入 影响: 执行任意
继续阅读漏洞预警 | Palo Alto Networks Expedition命令注入、SQL注入和明文存储漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-9463 CVE-2024-9464 CVE-2024-9465 CVE-2024-9466 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Netw
继续阅读【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞 xiachuchunmo 银遁安全团队 2024-11-22 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzB
继续阅读【DVWA】RCE远程命令执行实战 原创 儒道易行 儒道易行 2024-11-22 18:00 遇到挑战跟挫折的时侯,我有一个坚定的信念,我可以断气,但绝不能放弃 0.Command Injection(介绍) 命令注入(Command Injection) 是一种安全漏洞,攻击者通过将恶意的命令插入到应用程序或系统的输入中,从而执行未经授权的操作。它通常发生在应用程序允许用户输入某些参数,然后将
继续阅读Nacos Derby命令执行漏洞利用脚本(11月22日更新) XiaomingX 网络安全者 2024-11-22 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读通达OA前台任意用户登录漏洞复现 WIN哥学安全 2024-11-22 14:37 点击上方 蓝字关注我们 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 漏洞描述 通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻
继续阅读【漏洞预警】Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827 cexlife 飓风网络安全 2024-11-22 13:51 漏洞描述: SpringSecurity是开源的身份验证和访问控制框架,由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关,在Spring Securit
继续阅读