Ollama未授权漏洞简单复现
Ollama未授权漏洞简单复现 原创 ss shadowsec 2025-03-02 10:25 前言:本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 最近Deepseek爆火,很多企业之类的都开始部署ai。而Ollama是运行 AI 模型的最受欢迎的开源项目之一,在Github上有13w以上star。在以后,或许AI也会成为一条新的可以渗透的路线,所以在看到ollama出
继续阅读标签: 复现
DeepSeek 出现严重漏洞!一个问题直接导致无限循环!
DeepSeek 出现严重漏洞!一个问题直接导致无限循环! 量子位 乌雲安全 2025-03-02 10:01 转载于公众号:量子位。 只要一句话,就能让DeepSeek陷入无限思考 ,根本停不下来? 北大团队发现,输入一段看上去人畜无害的文字,R1就无法输出中止推理标记,然后一直输出不停。 强行打断后观察已有的思考过程,还会发现R1在不断重复相同的话。 而且这种现象 还能随着蒸馏被传递 ,在用R
继续阅读Apache MINA CVE-2024-52046漏洞复现分析
Apache MINA CVE-2024-52046漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-02 10:00 网络安全警报!Apache MINA 漏洞来袭。 互联网时代,网络安全问题层出不穷,稍有不慎就可能陷入巨大风险之中。 近日,一则关于Apache MINA的重大漏洞预警引发广泛关注,它究竟有何危害? 又该如何防范? 本文将为您详细解析 。 一、漏洞背景 美
继续阅读利用 AIxCC Nginx 漏洞:第一部分
利用 AIxCC Nginx 漏洞:第一部分 Ots安全 2025-03-02 07:23 这篇博文将分析Nginx AIxCC 中时间安全漏洞的可利用性。 AIxCC是 DARPA 的一项竞赛,旨在使用 AI 查找代码库中的漏洞。参赛者不是在寻找 0day 漏洞,而是故意在现有代码库中添加漏洞。其中之一就是半决赛中的Nginx,该比赛已经结束。 在这篇博文中,我将从不同的角度关注这些增加的漏洞是
继续阅读记一次某大学的漏洞挖掘
记一次某大学的漏洞挖掘 原创 zkaq-徐来. 掌控安全EDU 2025-03-02 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 徐来. 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 宇宙免责声明!!! 本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解
继续阅读URL 重定向:利用开放 URL 重定向漏洞的完整指南
URL 重定向:利用开放 URL 重定向漏洞的完整指南 原创 visionsec 安全视安 2025-03-01 18:21 开放 URL 重定向漏洞很容易找到,因为它们在应用程序中很常见。这种漏洞类型通常也被认为是一个唾手可得的果实。但是,随着现代应用程序变得越来越复杂,漏洞也越来越复杂。这也使得将这些唾手可得的成果升级为更严重的安全问题成为可能。正如我们已经看到如何将 XSS 升级为远程代码执
继续阅读被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新)
被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新) Niiiiko 网络安全者 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任
继续阅读黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增
黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增 Rhinoer 犀牛安全 2025-03-01 16:00 我们发现黑客试图攻击那些容易受到 2022 年和 2023 年旧安全问题影响的维护不善的设备。 威胁监控平台 GreyNoise 报告称,利用 CVE-2022-47945 和 CVE-2023-49103 的攻击行为者数量激增 ,这会影响 ThinkPHP 框架和用
继续阅读漏洞挖掘小工具 — SeeMore(3月1日更新)
漏洞挖掘小工具 — SeeMore(3月1日更新) Bbdolt Web安全工具库 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】
Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】 2025-3-1更新 南风漏洞复现文库 2025-03-01 15:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞
【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-03-01 05:32 来源:https://www.ddpoc.com/DVB-2024-8494.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读【6-2w$赏金】我的微软漏洞赏金 – 大结局
【6-2w$赏金】我的微软漏洞赏金 – 大结局 原创 M1n9K1n9 APT250 2025-03-01 04:36 按照我的个人习惯,致谢和结语放文章开头,谢谢。 致谢 我叫做鸣王(M1n9K1n9),原名冯家鸣,来自广东工贸职业技术学院,同时也是网络安全职业选手、未来的职业漂移赛车手、QQ飞车娱乐选手,等等等等 感谢TryHackMe和htba等国际网络安全平台/团队/企业,使我
继续阅读十几万个漏洞POC,直接梭哈
十几万个漏洞POC,直接梭哈 菜鸟小新 2025-03-01 03:23 POC (Proof of Concept)是指漏洞证明,它通过一段描述或一个样例来证明漏洞确实存在。POC通常用于检测系统或应用程序中是否存在某个特定的漏洞。它是安全研究人员在发现漏洞后,向开发者或相关方展示漏洞存在的有效手段。 POC的作用 POC的主要作用是验证漏洞的存在,并展示漏洞的利用方式。通过POC,安全研究人员
继续阅读S2-005远程代码执行漏洞
S2-005远程代码执行漏洞 原创 Hacker 0xh4ck3r 2025-03-01 02:19 S2-005远程代码执行漏洞 漏洞发现 通过网页后缀来发现是否为xxx.do 或xxx.action ,有的需要抓包看提交的请求链接是否存在以上两种情况,有的是在返回的链接上。 漏洞成因 服务器使用OGNL表达式%{value}解析每个请求参数名。OGNL表达式通过#来访问struts的对象,st
继续阅读审计分析 | 一套”组合拳”造成文件上传漏洞
审计分析 | 一套”组合拳”造成文件上传漏洞 实战安全研究 2025-03-01 02:00 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 本文是记录一次利用”组合拳”拿下OA系统文
继续阅读【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama)
【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama) 小C学安全 小C学安全 2025-03-01 00:06 免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本
继续阅读记录一个src挖掘的骚思路
记录一个src挖掘的骚思路 原创 深潜sec安全团队 深潜sec安全团队 2025-03-01 00:06 前要 现在入行src的人太多了,很多思路已经陷入闭环不是那么好挖,我在很久以前在国外众测挖掘的时候,经常见到不要的漏洞里面有一个SPF,我就比较好奇,然后深入了解后,发现确实也有一些危害,而且国内确实没有人交过一方面的东西,结果一交,确实收获了一些赏金,这里大概是在24年初的时候,只交了4家
继续阅读漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞
漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Elber wayber是一家专注于音频技术解决方案的公司,提供高质量的模拟和数字音频Q设备,广泛应用于专业录音、广播、现场演出和多媒体制作等领域。 0x03 漏洞详情 漏洞类型
继续阅读漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞
漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 脸爱云一脸通智慧管理平台是一套功能强大,运行稳定,操作简单方便,用户界面美观,轻松统计数据的一脸通系统。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息**** 简述: 脸爱云一
继续阅读方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警
方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警 2025-2-28更新 南风漏洞复现文库 2025-02-28 22:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 方正畅
继续阅读POC 管理工具AI版
POC 管理工具AI版 原创 hugh 和光同尘hugh 2025-02-28 16:15 还在傻傻的自己动手写poc吗,不如试试这个!!! 基于AI 用于 Afrog poc 的生成 管理 和测试,构建自己的漏洞库 afrog poc (AI 生成 ) ———>资产搜索(获取验证目标)——>漏洞验证(验证是否可用)——>POC管理 完美闭环! 使用示例: 1、生成poc 2、
继续阅读DVR-登录绕过漏洞-CVE-2018-9995
DVR-登录绕过漏洞-CVE-2018-9995 原创 骇客安全 骇客安全 2025-02-28 16:01 漏洞描述 DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机。最初由阿根廷研究员发现,通过使用“Cookie: uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。 漏洞影响 Novo CeN
继续阅读如何修复常见的WEB漏洞
如何修复常见的WEB漏洞 xsser xsser的博客 2025-02-28 15:24 常见Web漏洞修复解决方案 一、SQL注入漏洞 漏洞原理 攻击者通过构造恶意输入篡改SQL语句逻辑,绕过身份验证或直接操纵数据库。例如,输入 ‘ OR 1=1– 使查询条件恒为真,泄露全表数据。 虚构修复方案 动态语法树重组(Dynamic Syntax Tree Reshaping, DSTR
继续阅读【漏洞预警】Apache InLong任意文件读取漏洞(CVE-2025-27531)
【漏洞预警】Apache InLong任意文件读取漏洞(CVE-2025-27531) cexlife 飓风网络安全 2025-02-28 14:15 漏洞描述: Aрасhе InLоnɡ是一款用于数据集成的开源框架,广泛应用于大数据处理场景,该漏洞存在于Aрасhе InLоnɡ的JDBC功能中,由于对用户输入的参数处理不当,攻击者可以通过精心构造的请求绕过安全限制,实现任意文件读取。 攻击场
继续阅读DT-高清车牌识别摄像机存在任意文件读取漏洞
DT-高清车牌识别摄像机存在任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-28 11:51 app="DT-高清车牌识别摄像机" 2、部分界面如下 3、隐患url,验证如下 id: DT-information-leakage info: name: DT-information-leakage author: xxxx severity: high
继续阅读苹果 Find My 网络漏洞让黑客可以悄无声息地追踪任何蓝牙设备
苹果 Find My 网络漏洞让黑客可以悄无声息地追踪任何蓝牙设备 安世加 安世加 2025-02-28 11:30 根据研究人员在博客文章中的解释,他们发现了一种方法,可以将任何设备 (如手机或笔记本电脑) 在用户完全不知情的情况下变成一个 AirTag。之后,黑客就可以远程追踪该设备的位置。 对于不熟悉的人来说,苹果的 Find My 网络的工作原理是通过从 AirTag 和其他兼容的追踪器向
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道
2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道 腾讯安全 2025-02-28 10:24 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健康
继续阅读2025鱼影安全SRC精品课程第一期重磅来袭!《0基础到高级SRC漏洞赏金猎人!》
2025鱼影安全SRC精品课程第一期重磅来袭!《0基础到高级SRC漏洞赏金猎人!》 原创 落寞的魚丶 鱼影安全 2025-02-28 10:15 点击上方蓝字·关注我们 课程背景: 本次课程由 鱼影安全 团队研发出品! 落寞的🐟:阿里云博客专家 CSDN博客专家 华为云博客专家 网络安全领域优质创作者 中高职全国职业技能大赛国赛金牌培训讲师 CTF选手 青年工匠 需要比赛培训可以联系我 多次培训出
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道
2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道 云鼎实验室 2025-02-28 09:31 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健
继续阅读