IAST技术专栏 | IAST下基于请求调用链的漏洞验证方案及其问题
IAST技术专栏 | IAST下基于请求调用链的漏洞验证方案及其问题 原创 火线安全 火线安全平台 2023-08-09 18:43 IAST 工作原理 首先这里的 IAST 指的是被动插桩模式的 IAST,流量式的 IAST 本质上还是 DAST。 IAST 的工作原理即在正常的功能测试过程中,或触发普通的测试流量时,采集请求中的污点传播链路及其相关信息,然后基于污点关联算法进行漏洞检测。 这个
继续阅读标签: 复现
2023-08 补丁日: 微软多个漏洞安全更新通告
2023-08 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-08-09 16:38 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-334 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-09 1 漏洞简述 2023年08月09日,360CERT监测发现Microsoft发布了2023年8月安全更新,事件等级:严
继续阅读航旅业大地震:常旅客积分系统曝严重漏洞
航旅业大地震:常旅客积分系统曝严重漏洞 网络安全应急技术国家工程中心 2023-08-09 15:18 黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。 Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取
继续阅读微软2023年8月补丁日多个产品安全漏洞风险通告
微软2023年8月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-08-09 09:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年8月补丁日多个产品安全漏洞 影响厂商&产品 Windows Kernel、Microsoft Office、Microsoft Exchange Server等 公开时间 2023-08-09 影响对象数量级
继续阅读【安全圈】Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
【安全圈】Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道 安全圈 2023-08-08 19:00 关键词 黑客入侵 // 近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用
继续阅读漏洞通告|致远OA文件上传漏洞
漏洞通告|致远OA文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-08 16:58 01 漏洞概况**** 致远OA是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。该软件包括了办公自动化、流程自动化、知识管理、文档管理、协同办公等功能模块,可以帮助企业实现信息化管理、流程优化、人力资源管理、财务管理等方面的需求。微步漏洞团队通过“X漏洞奖励计划”获取到致远OA前台
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼
被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼 综合编译 代码卫士 2023-08-08 15:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 被 Tenable 公司的 CEO 公开批判“严重不负责任”后,微软修复了位于 Power Platform Custom Connectors 特性中的一个漏洞。该漏洞可导致未认证攻击者访问跨租户应
继续阅读Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道 网络安全应急技术国家工程中心 2023-08-08 15:09 近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域
继续阅读【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃
【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃 安全圈 2023-08-07 19:00 关键词 漏洞攻击 勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击,近六百家企业机构遭殃,亦有部分组织因IT服务供应商遭受攻击而受害,且规模持续扩大。 这起事故发生迄今快2个月,从当初指出攻击者的身份,到黑客组织坦诚犯案、公布受害组织名单,后来则有部
继续阅读红队最爱50个高危漏洞,马了赶紧修
红队最爱50个高危漏洞,马了赶紧修 原创 微步情报局 微步在线研究响应中心 2023-08-07 18:00 盼望着,盼望着,演练来了,红队的脚步近了。 强烈建议各家蓝队负责人,自查以下50+高危漏洞的资产信息,并赶在正式开打前完成针对性处置动作。 这50多个漏洞是微步漏洞团队根据漏洞的危害、利用难易程度、影响面、实网攻击行为情况等诸多维度,从海量漏洞情报中提取出了近一年来被攻击方频繁利用、且危害
继续阅读三年内攻防演练实战总结,200+必修高危漏洞清单
三年内攻防演练实战总结,200+必修高危漏洞清单 原创 360漏洞云情报 360漏洞云 2023-08-07 17:44 2023攻防演练 必修高危漏洞合集 360数字安全集团 – 漏洞云 2023年8月 报告信息 报告名称 2023 攻防演练必修高危漏洞合集 报告类型 漏洞统计 报告日期 2023-08-01 报告编号 04T-202300801-01 联系方式 loudongyun
继续阅读腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-08-07 10:15 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CISA公布了2022年最常被利用的12个漏洞
CISA公布了2022年最常被利用的12个漏洞 看雪学苑 看雪学苑 2023-08-04 17:59 8月3日,美国网络安全与基础设施安全局CISA、国家安全局NSA和联邦调查局FBI,联合五眼联盟的其他各国网络安全机构,公布了2022年最常被利用的top 12漏洞。 这份联合发布的网络安全咨询公告上写道:“2022年,相比最近披露的漏洞,攻击者更倾向于利用较旧的软件漏洞,并针对未打补丁的互联网系
继续阅读CVE-2022-30887(文件上传漏洞)
CVE-2022-30887(文件上传漏洞) 原创 y@n1n 暗影安全 2023-08-04 17:45 漏洞简介 …… 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。 该CMS中 php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。 漏洞复现
继续阅读上周关注度较高的产品安全漏洞(20230724-20230730)
上周关注度较高的产品安全漏洞(20230724-20230730) 深信服千里目安全技术中心 2023-08-04 15:16 一、境外厂商产品漏洞 1、IBM DB2拒绝服务漏洞(CNVD-2023-58522) IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在
继续阅读Salesforce 邮件服务0day用于钓鱼攻击活动
Salesforce 邮件服务0day用于钓鱼攻击活动 THN 代码卫士 2023-08-03 18:00 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Guardio Labs的研究员 Oleg Zaytsev 和 Nati Tal 发布报告提到,一起复杂的 Facebook 钓鱼攻击活动利用 Salesforce 邮件服务0day漏洞,通过该公司的域名和基础设施构造目标钓鱼信息
继续阅读2023攻防演练必修高危漏洞集合(2.0版)
2023攻防演练必修高危漏洞集合(2.0版) 漏洞情报中心 斗象智能安全 2023-08-03 17:50 继7月19日推出👉《2023攻防演练必修高危漏洞集合》 之后,斗象科技漏洞情报中心继续依托漏洞盒子的海量漏洞数据、情报星球社区的一手漏洞情报资源以及Freebuf安全门户的安全咨询,不断对高危漏洞进行分析整合,并于近期输出 《2023攻防演练必修高危漏洞集合(2.0版)》 。 高危风险漏洞一
继续阅读404星链计划 | 5 款全开源的免费漏洞探测工具
404星链计划 | 5 款全开源的免费漏洞探测工具 原创 404实验室 知道创宇404实验室 2023-08-03 16:43 404星链计划目前已收录60+开源项目 涵盖了甲方工具、信息收集、漏洞探测、 攻击与利用、信息分析、内网工具等多个种类 近期我们会陆续发布不同类别工具的精选专题 帮助你找到更好用更适合自己的“神兵利器” 上期回顾: 404星链计划 | 精选 10 个甲方开源安全工具 本期
继续阅读“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态
“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态 原创 nana 数世咨询 2023-08-03 16:00 ESTCube-2小卫星。德国研究人员分析了三颗卫星的安全状况,包括ESTCube-2的前身。 距地面几百上千公里的高空,数千颗人造卫星围绕地球运行,维持世界正常运转。时间系统、全球定位系统(GPS),以及各种通信技术,全都由卫星提供支持。但多年来, 安全研究人员不断发出警
继续阅读【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险
【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险 安全圈 2023-08-02 19:02 关键词 漏洞危机 专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja For
继续阅读【已复现】Smartbi身份认证绕过漏洞安全风险通告
【已复现】Smartbi身份认证绕过漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-08-02 17:56 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi身份认证绕过漏洞 漏洞编号 QVD-2023-17461 公开时间 2023-07-28 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.4 威胁类型 身份认证绕过 利用
继续阅读nacos 身份认证绕过漏洞(QVD-2023-6271)
nacos 身份认证绕过漏洞(QVD-2023-6271) male1a 黑伞安全 2023-08-02 17:50 JWT(Json Web Token) 0x00 JWT构成 Json Web Token 简称 JWT ,用做用户身份验证。那么其结构长什么样呢,下面我会通过一个例子去分析。 上面是一串 JWT 格式的字符串,在线解密查看内容: https://jwt.io/ 从解密的结果可以看
继续阅读漏洞情报|Smartbi 未授权访问漏洞
漏洞情报|Smartbi 未授权访问漏洞 漏洞情报中心 斗象智能安全 2023-08-02 17:19 1.1漏洞概述 近日,斗象科技漏洞情报中心监控到Smartbi发布安全补丁,修复了 1 个安全漏洞。 Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析
继续阅读漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300)
漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300) M1sery GobySec 2023-08-02 11:18 G o b y 社 区 第 30 篇 技 术 分 享 文 章 全 文 共 : 8596 字 预 计 阅 读 时 间 : 18 分 钟 01 概述 近期,Adobe ColdFusion 发布了多个安全更新,引起了我们的关注。Adobe ColdFu
继续阅读美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞 Ionut Arghire 代码卫士 2023-08-01 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。 这些访问控制漏洞被称为不安全的
继续阅读漏洞通告 | Smartbi 权限绕过漏洞
漏洞通告 | Smartbi 权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-01 17:38 01 漏洞概况**** Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近日,微步漏洞团队监测到Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。获取管理员权
继续阅读QNAP 多个高危漏洞通告
QNAP 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-08-01 16:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-317 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-01 1 漏洞简述 2023年08月01日,360CERT监测发现QNAP发布了QVPN Device Client for Window,QTS的风
继续阅读【已复现】Linux Kernel权限提升漏洞(CVE-2023-3269)安全风险通告
【已复现】Linux Kernel权限提升漏洞(CVE-2023-3269)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-08-01 16:18 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Linux Kernel 权限提升漏洞 漏洞编号 QVD-2023-15242、CVE-2023-3269 公开时间 2023-07-05 影响对象数量级 万级 奇安
继续阅读风险提示|Smartbi 权限绕过漏洞导致后台接管
风险提示|Smartbi 权限绕过漏洞导致后台接管 长亭安全应急响应 黑伞安全 2023-08-01 16:05 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技监测到Smartbi发布新补丁,修复了一处权限绕过漏洞。长亭应急团队经过分析后发现该漏洞类型为权限绕过,仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的
继续阅读