3月这几个API安全漏洞值得注意!
3月这几个API安全漏洞值得注意! 星阑科技 2023-04-04 14:29 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 3月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 影子API将带来不可预知的漏洞 漏洞详情:时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威
继续阅读标签: 复现
【漏洞预警】WordPress Elementor Pro插件访问控制漏洞
【漏洞预警】WordPress Elementor Pro插件访问控制漏洞 安识科技 SecPulse安全脉搏 2023-04-04 11:45 1. 通告信息 近日,安识科技 A-Team团队监测到WordPress Elementor Pro 插件中修复了一个访问控制漏洞,其CVSSv3评分为8.8。经过身份验证的用户可利用该漏洞更改站点设置,甚至完全控制网站,目前该漏洞的细节已经公开,且已发
继续阅读Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业 Lawrence Abrams 代码卫士 2023-04-03 16:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 已存在十年之久的Windows 漏洞 (CVE-2013-3900) 遭利用,导致可执行文件看似获得合法签名。这么多年来,微软发布的修复方案仍然是“opt-in”状态。更糟糕的是,升级至 Window
继续阅读【技术分享】shiro550漏洞复现与研究
【技术分享】shiro550漏洞复现与研究 pony686 安全客 2023-04-03 09:59 前言:就像雨总会停,雾总会散,同样地没有谁会一直失败。 1 漏洞描述 1.shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 2.漏洞原理 Apache Shiro框架提供了记住密码
继续阅读【安全圈】WLAN协议曝重大设计漏洞,可劫持web流量
【安全圈】WLAN协议曝重大设计漏洞,可劫持web流量 安全圈 2023-04-02 19:01 关键词 漏洞 东北大学的网络安全研究人员在IEEE 802.11无线局域网协议标准中发现了一个设计漏洞,攻击者可欺骗接入点以明文形式泄漏网络帧。 WLAN帧是由标头、数据有效负载和尾部组成的数据容器,其中包括源和目标MAC地址、控制和管理数据等信息。这些帧按队列排序受控传输,以避免碰撞冲突,并通过监视
继续阅读周日14点直播预告 | 系统0day安全-漏洞挖掘复现cve-1
周日14点直播预告 | 系统0day安全-漏洞挖掘复现cve-1 小雪 看雪学苑 2023-04-01 17:59 快来预约 *声明:针对未购课用户,观看视频号完整直播均需付费 系统0day安全-漏洞挖掘复现cve-1 时间:4月2日(周日)14点 球分享 球点赞 球在看
继续阅读通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励
通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励 Bill Toulas 代码卫士 2023-03-31 18:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一款配置不当的微软应用可使任何人登录并实时修改 Bing.com 搜索结果以及注入 XSS 攻击,攻陷 Office 365 用户的账号。 Wiz公司的研究人员发现了该问题并将其描述为“BingBang”。该
继续阅读Realtek Sdk CVE-2021-35392漏洞分析
Realtek Sdk CVE-2021-35392漏洞分析 原创 尖峰实验室 VLab安全实验室 2023-03-31 18:08 VLab-实验室 研究人员公开披露了Realtek公司的SDK中存在4个安全漏洞,攻击者可以未经身份验证远程利用这些漏洞,注入任意命令并以最高权限执行任意代码 或导致 设备崩溃。这些漏洞影响了至少65个不同供应商生产的近200种产品,并作为供应链漏洞,影响了数十万台
继续阅读原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析
原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析 原创 404实验室 知道创宇404实验室 2023-03-31 16:51 作者:billion@知道创宇404实验室日期:2023年3月31日 parse-server公布了一个原型污染的RCE漏洞,看起来同mongodb有关联,so跟进&&分析一下。 1、BSON潜在
继续阅读CVE-2023-29059:3CXDesktop App 代码执行漏洞通告
CVE-2023-29059:3CXDesktop App 代码执行漏洞通告 原创 360CERT 三六零CERT 2023-03-31 16:26 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-73 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-31 1 漏洞简述 2023年03月31日,360CERT监测发现3CX发布了Mac 3CXDeskt
继续阅读WLAN协议曝重大设计漏洞,可劫持web流量
WLAN协议曝重大设计漏洞,可劫持web流量 网络安全应急技术国家工程中心 2023-03-31 15:19 东北大学的网络安全研究人员在IEEE 802.11无线局域网协议标准中发现了一个设计漏洞,攻击者可欺骗接入点以明文形式泄漏网络帧。 WLAN帧是由标头、数据有效负载和尾部组成的数据容器,其中包括源和目标MAC地址、控制和管理数据等信息。这些帧按队列排序受控传输,以避免碰撞冲突,并通过监视接
继续阅读WiFi协议曝出漏洞,攻击者可以轻松劫持网络流量
WiFi协议曝出漏洞,攻击者可以轻松劫持网络流量 布加迪 嘶吼专业版 2023-03-31 12:01 网络安全研究人员近日在IEEE 802.11 WiFi协议标准的设计中发现了一个基本的安全漏洞,这个漏洞让攻击者可以诱骗接入点泄露明文格式的网络帧。 WiFi网络帧如同数据容器,由报头、数据载荷和报尾组成,含有源和目的地MAC地址、控制和管理数据之类的信息。 这些帧在队列中排序,在受控制的材料中
继续阅读【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击
【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击 深盾研究实验室 深信服千里目安全技术中心 2023-03-30 19:33 恶意家族名称: Magniber 威胁类型: 勒索软件 简单描述: Magniber勒索家族的前身是Cerber,至少从2021年10月已经开始活跃,最初主要针对韩国,从今年年初开始,该组织日益活跃,攻击范围开始遍布全球,包括中国大陆、中国台湾、中国香港、马来西亚
继续阅读原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE
原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE 原创 Whippet SecIN技术平台 2023-03-29 18:00 点击蓝字 关注我们 漏洞简介 Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流
继续阅读JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改
JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改 taamr 火线Zone 2023-03-28 18:04 序 最近复现学习Fastjson反序列化漏洞利用的时候,用JNDIExploit注入内存马发现连接不上,得魔改冰蝎,再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了,但是目前开源的JNDIExploit的内存马逻辑得改一改。 后面一想,魔改冰蝎还不如改一改
继续阅读Ronin 黑客计中计,你听说过扭曲攻击漏洞吗?
Ronin 黑客计中计,你听说过扭曲攻击漏洞吗? 原创 慢雾安全团队 慢雾科技 2023-03-28 17:59 By: Johan 据慢雾安全团队情报,2023 年 3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到攻击,攻击者获利约 2 亿美元。 黑客在攻击完 Euler 后,为了混淆视听逃避追查,转了 100 ETH 给盗取了 Ronin 6.25 亿多美金
继续阅读上周关注度较高的产品安全漏洞(20230320-20230326)
上周关注度较高的产品安全漏洞(20230320-20230326) 国家互联网应急中心CNCERT 2023-03-28 16:52 一、境外厂商产品漏洞 1、Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2023-18291)**** Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie
继续阅读Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等
Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等 Lawrence Abrams 代码卫士 2023-03-27 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenAI 公司指出,Redis 客户端开源库漏洞是上周一ChatGPT服务中断以及数据泄露的元凶。该攻击使用户能够看到其他人的个人信息和聊天查询。 ChatGPT 在侧边栏展示用户所提的历史查询,可使用户
继续阅读雷神众测漏洞周报2023.03.20-2023.03.26
雷神众测漏洞周报2023.03.20-2023.03.26 原创 雷神众测 雷神众测 2023-03-27 15:21 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读【安全圈】2023第一个重大漏洞,几乎影响所有组织
【安全圈】2023第一个重大漏洞,几乎影响所有组织 安全圈 2023-03-26 19:00 关键词 CVE漏洞 Dark Reading 网站披露,微软修复了 Outlook 中存在的零日漏洞,漏洞被追踪为 CVE-2023-23397,是一个权限提升漏洞,攻击者可以利用该漏洞访问受害者的 Net-NTLMv2 响应身份验证哈希并冒充用户。安全研究人员警告称 CVE-2023-23397 非常
继续阅读源代码与二进制漏洞的融合
源代码与二进制漏洞的融合 TUGOhost 【译】 看雪学苑 2023-03-25 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:TUGOhost 反编译器是用来从程序二进制恢复到高级语言表示(通常是C代码)的工具。在过去的五年中,反编译器有了很大的改进,不仅是在产生的伪代码的可读性方面,而且在恢复的相似性方面也有了很大的改进。尽管反编译器经常被不同学科的逆向工程师所使用 (例如,支持漏洞
继续阅读ChatGPT 写 PoC,拿下漏洞!
ChatGPT 写 PoC,拿下漏洞! 渊龙Sec安全团队 2023-03-24 19:51 Goby社区第 23 篇技术分享文章 全文共: 3901 字 预计阅读时间: 10 分钟 01 前言**** ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例
继续阅读【S&P 2022论文分享】以Protocol为中心的UEFI固件SMM提权漏洞静态检测
【S&P 2022论文分享】以Protocol为中心的UEFI固件SMM提权漏洞静态检测 原创 尹嘉伟 等 网安国际 2023-03-24 18:21 前言 本文根据英文原文“Finding SMM Privilege-Escalation Vulnerabilities in UEFI Firmware with Protocol-Centric Static Analysis.”整理撰
继续阅读CVE-2023-28432: MinIO信息泄露漏洞通告
CVE-2023-28432: MinIO信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-03-24 16:33 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-57 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-23 1 漏洞简述 2023年03月23日,360CERT监测发现MinIO发布了MinIO的风险通告,漏洞编号为CVE
继续阅读【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432)
【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432) 原创 NS-CERT 绿盟科技CERT 2023-03-24 15:37 通告编号:NS-2023-0016 2023-03-24 TAG: MinIO、信息泄露、CVE-2023-28432 漏洞危害: 攻击者利用漏洞可读取敏感信息 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现MinIO官方发布安全通告,修复了一
继续阅读PHP开发服务器远程源代码泄露漏洞原理剖析
PHP开发服务器远程源代码泄露漏洞原理剖析 山石网科安全技术研究院 2023-03-24 11:39 PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生产环境下使用这个服务器。 01 历史问题 02 PHP 开发服务器 <= 7.4.21 &
继续阅读ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD
ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD 智安全 深信服千里目安全技术中心 2023-03-23 20:45 传统用CodeQL进行漏洞挖掘,生成的结果误报较多,影响效率;那么,如果融入ChatGPT和RASP呢? 3月21日,由Informa Markets主办的2023 INSEC WORLD 世界信息安全大会以“聚焦安全 打造多元新格局“
继续阅读【技术干货】CVE-2023-21839 WebLogic Server RCE分析
【技术干货】CVE-2023-21839 WebLogic Server RCE分析 星阑科技 2023-03-23 10:39 xxhzz @PortalLab实验室 项目介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J
继续阅读结合图学习和自动数据收集的代码漏洞检测模型
结合图学习和自动数据收集的代码漏洞检测模型 原创 senu11 安全学术圈 2023-03-22 19:17 原文标题:Combining Graph-Based Learning With Automated Data Collection for Code Vulnerability Detection原文作者:Huanting Wang , Guixin Ye , Zhanyong Tang
继续阅读CVE-2023-21752 Windows 备份服务漏洞分析
CVE-2023-21752 Windows 备份服务漏洞分析 原创 天元实验室 M01N Team 2023-03-22 18:00 简介 Windows备份服务为计算机提供备份和还原的功能。它依赖于Microsoft Windows备份引擎,提供了备份和还原的基本功能,例如备份系统镜像、文件、文件夹和应用程序数据等。CVE-2023-21752微软在2023年1月份修复的一个位于Windows
继续阅读