《2025年提升全民数字素养与技能工作要点》印发,提出营造安全有序数字环境;PoC攻击暴露Linux安全工具核心设计缺陷 |牛览 安全牛 2025-04-28 09:33 新闻速览 •《2025年提升全民数字素养与技能工作要点》印发,提出营造安全有序数字环境 •全球能源巨头成为目标:揭秘”电力寄生虫”多语言钓鱼攻击 •教育云遭遇重创:黑客利用AzureChecker部署加密
继续阅读安全专家提供的 APT38 窃取 0day 漏洞的策略 PoC Ots安全 2025-04-28 08:58 – 一个自动化 APT38 技术的程序,该技术已被用于针对网络安全研究人员专家 Lazarus 是一个受朝鲜政府支持的组织,其针对网络安全研究人员的攻击记录屡见不鲜。在其众多引人注目的技术中,有一种因其能够有效欺骗众多网络安全专家而尤为突出。 攻击者创建多个 Twitter 和
继续阅读印度阿三安全研究员,欺骗漏洞赏金全过程! 原创 村里的小四 信安之路 2025-04-28 08:55 本文作者:村里的小四,成长平台三百分成员,本文奖励信安之路知识星球一年有效期。 凌晨 3 点收到一封邮件,邮件标题是 Responsible Disclosure of a Subdomain Takeover issue on: t.test.example.com,此处 t.test.exa
继续阅读CNVD漏洞周报2025年第16期 原创 CNVD CNVD漏洞平台 2025-04-28 08:43 2 0 2 5 年 0 4 月 21 日 – 2 0 2 5 年 0 4月27日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞484个,其中高危漏洞250个、中
继续阅读记一次某大学附属医院漏洞挖掘 Tai 不秃头的安全 2025-04-28 06:40 记一次某大学附属医院漏洞挖掘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 前情提要 开局一个登录框 ![图形用户界面, 应用程
继续阅读面对零日漏洞:如何提高应对能力? 原创 deepsec 深安安全 2025-04-28 06:37 在网络安全领域,”零日漏洞”(Zero-Day Vulnerability)是最令企业和个人头疼的威胁之一。攻击者利用尚未被公开或修复的漏洞发起攻击,而防御方往往措手不及。近年来,零日漏洞攻击事件频发,如SolarWinds供应链攻击、微软Exchange漏洞等,均造成了巨大
继续阅读Craft CMS CVE-2025-32432 exp发布 独眼情报 2025-04-28 06:32 Craft CMS 0day, CVE-2025-32432 安全研究员 Chocapikk 发布了一个 Metasploit 模块,用于影响 Craft CMS 的关键零日漏洞,该漏洞被追踪为 CVE-2025-32432 (CVSS 10)。 这种远程代码执行 (RCE) 漏洞,当与 Yi
继续阅读立即保护好Clash Verge rev! 远程命令执行漏洞公开! 原创 一个不正经的黑客 一个不正经的黑客 2025-04-28 06:19 立即保护好Clash Verge rev! 远程命令执行漏洞公开! 免责声明: 本文仅限学习、研究使用!其他用途责任自负 背景信息 2天之前clash Verge rev 被爆出存在本地提权漏洞,群友们传的沸沸扬扬说这个漏洞本质是命令执行漏洞。 因为自己也
继续阅读深澜计费管理系统 down-load 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 06:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 深澜计费管理系统 down-lo
继续阅读漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-28 02:30 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读地理数据的背叛:坐标风暴漏洞讲解 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-28 02:19 嘿嘿,亲爱的师傅们好呀~ 最近收到好多小伙伴的贴心反馈:”大师的实验性漏洞研究超干货!但对着视频记笔记实在不方便啊…” ⚡️所以以后打算随着视频同步推出文章,当然都是免费的哈哈! 文章一般首发于地图大师自己的网站:https://www.dituse
继续阅读时空智友 企业信息管理系统 updater.getStudioFile 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 02:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞 薛定谔不喜欢猫 富贵安全 2025-04-28 01:15 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 1.教务系统登录处短信轰炸 学校的教务系统登录处,发现有一个手机验证码认证 这里会发送一个验证码 正常来说,每发送一次短信验证码,这个校验码就会自动更新一次,然后会报错:“验证码错误”。 但是这里
继续阅读2024全球高危漏洞预警报告(含POC) 原创 鲸落 Rot5pider安全团队 2025-04-28 01:04 点击上方蓝字 关注安全知识 2024全球高危漏洞预警报告(完整版) TOP 10漏洞全披露(含PoC状态) 一、高危漏洞TOP 10完整榜单 1. CVE-2024-12345:Apache Log4j 2.21.1 反序列化漏洞 CVSS评分 :9.8(严重) PoC状态 :
继续阅读Planet Technology 工业交换机漏洞可导致设备被接管 会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03 导读 网络安全公司 Immersive 发现影响中国台湾网络设备制造商 Planet Technology 生产的网络管理工具和工业交换机的严重安全漏洞。根据该公司的博客文章,漏洞可能导致攻击者能够接管受影响的网络设备。 Immersive 的安全研究员 Kev
继续阅读DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本 会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03 导读 网络安全研究人员警告称,一种名为 DslogdRAT 的新恶意软件在利用 Ivanti Connect Secure (ICS) 中现已修补的安全漏洞部署。 JPCERT/CC 研究员 Yuma Masubuchi在周
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞 薛定谔不喜欢猫 神农Sec 2025-04-28 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: h
继续阅读CVE-2025-43859:Python h11 HTTP 库中的请求走私漏洞 NightTeam 夜组OSINT 2025-04-28 00:00 漏洞描述 h11 是一个极简的、与 I/O 无关的、用 Python 编写的 HTTP/1.1 协议库,该库中发现了一个严重漏洞,编号为 CVE-2025-43859。该漏洞的 CVSS 评级为 9.1,当 h11 与配置错误或存在缺陷的 HTTP
继续阅读我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事 haidragon 安全狗的自我修养 2025-04-27 23:26 TL;DR — 我构建了一个自动化功能,克隆和扫描了数以万计的公共 GitHub 存储库以查找泄露的机密信息。对于每个存储库,我恢复了已删除的文件,找到了悬空的 blob 和解压缩的 .pack 文件,以便在其中搜索公开的 API 密钥、令牌和凭据。最终报告了
继续阅读如何利用隐藏功能点发现SQL注入漏洞和注入绕过技巧|挖洞技巧 lo2us/消失的.. 渗透安全HackTwo 2025-04-27 16:01 0x01 前言 在渗透测试过程中,SQL注入依然是最常见的漏洞之一。通过对目标网站的不断探索和漏洞分析,我们发现了该站点的SQL注入问题,并通过一系列绕过手段成功获取了数据库信息。本文记录了从发现漏洞到成功利用的整个过程,分享了一些典型的绕过技巧和方法,
继续阅读Steam 客户端漏洞 &&从csgo角度看待网络安全 原创 梅苑 梅苑安全 2025-04-27 15:43 Steam 客户端漏洞 原文链接: https://hackerone.com/reports/667242 打开特定的 steam:// URL 会覆盖任意位置的文件 如果用户打开 steam://devkit-1/list-shortcuts?response=/tm
继续阅读记一次漏洞复现威胁情报导致的漏洞 原创 湘南第一深情 湘安无事 2025-04-27 14:12 声明: 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 0x00前言 起因是 3月份下班坐地铁 无聊 在wx公众号
继续阅读【成功复现】CrushFTP身份认证绕过漏洞(CVE-2025-2825) sec0nd安全 2025-04-27 14:05 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍CrushFTP 是由 CrushFTP LLC 开发的文件传输服务器软件,它的主要用途是提供安全、可靠的文件传输服务。它允许用户通过
继续阅读【安全圈】CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全 安全圈 2025-04-27 11:01 关键词 安全漏洞 网络安全研究人员在 Langflow 中发现了一个严重的远程代码执行(RCE)漏洞。Langflow 是一个被广泛用于以可视化方式构建由人工智能驱动的智能体和工作流程的开源平台。 这个高严重性漏洞被编号为 CVE-2025-3248
继续阅读每周网安资讯 (4.22-4.27)|Johnson Controls ICU漏洞预警 交大捷普 2025-04-27 10:15 2025[ 每周网安资讯 ]4.22-4.27 网安资讯 1、全国数标委公开征求《可信数据空间 技术架构(征求意见稿)》技术文件意见 为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划(2024—2028年)》等政策文件要求,充分考虑可信数据空间作为数据
继续阅读Craft CMS RCE利用链用于窃取数据 Lawrence Abrams 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Orange Cyberdefense 公司提到,Craft CMS 中存在两个漏洞,可用于攻陷服务器和窃取数据。 这两个漏洞是由 Orange Cyberdefense 公司的部门CSIRT在调查一台受陷服务器时发现的。这
继续阅读CVSS10分!Erlang/OTP SSH远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-04-27 10:07 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Erlang/OTP存在一个远程代码执行漏洞,编号为 CVE-2025-32433。攻击者可以通过构造特定 SSH 协议消息,在未进行身份验证的情况下在受影响的系统上执行任意代码。这一漏洞使得攻击者能够获取系统
继续阅读【已复现】Craft CMS generate-transform 反序列化代码执行漏洞(CVE-2025-32432) 原创 安全探索者 安全探索者 2025-04-27 10:07 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验。 搜索语法: app=”craft-cms&#
继续阅读SAP NetWeaver中存在严重漏洞,面临主动利用威胁 原创 David Jones 信息安全D1net 2025-04-27 09:44 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 已观察到攻击者正在投放webshell后门程序,研究人员警告称,该应用程序在政府机构中颇受欢迎。 安全研究人员警告称,黑客正在积极利用SAP NetWeaver Visual Comp
继续阅读【二次更新已复现】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324) 原创 安全探索者 安全探索者 2025-04-27 07:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 SAP NetWeaver是SAP的集成技术平台,是自从SAP Business Suite以来的所有SAP应用的技术基础。SAP NetWeaver
继续阅读