【相关分享】记一次小程序逻辑漏洞
【相关分享】记一次小程序逻辑漏洞 原创 隼目安全 隼目安全 2025-01-12 08:49 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 该漏洞已经向相关单位与平台
继续阅读标签: 广告
一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测
一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-09 16:01 0x01 工具介绍 James_synthesis_tooL 研发目的:旨在帮助技术人员在日常渗透测试或攻防演练中对于漏洞及指纹的积累,形成自己强大的漏洞库及指纹库。相比于nuclei脚本可能会相对无脑简化!且采用GUI设置,使用起来也更加方便! 下载地址在末尾 0x0
继续阅读外网露出:新版 CobaltStrike 顶级免杀套件Arsenal kit
外网露出:新版 CobaltStrike 顶级免杀套件Arsenal kit 棉花糖fans 2025-01-08 04:49 上周日,某TG频道公开发布了CS4.10-Arsenal Kit工具包 image-20250108112122048 经查,hash与官方一致: image-20250108112509202 以下为相关描述 武器库套件是将各个独立套件组合成一个单一套件。构建此套件会生
继续阅读突发!更新漏洞poc的公众号主被抓!
突发!更新漏洞poc的公众号主被抓! 棉花糖fans 2025-01-07 05:02 就在今天上午,”漏洞文库“公众号启动注销。 据了解,是因为前段时间发布了xx系统相关的RCE漏洞,导致某企业被打穿,造成了一定后果,图为群友聊天截图。 该号主的朋友圈: 往期文章 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动2024-12-27 交流群新增github po
继续阅读【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了
【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了 原创 仙草里没有草噜丶 泷羽Sec 2025-01-03 23:44 ~ 历遍山河,仍觉人间值得 ~ Tr0ll level 1 这里是综合的,前两篇已经发过了1和2,可以直接跳过这里,看level 3,,当然也可以回顾回顾思路,考试的时候指不定就忘了 靶机1,主要是利用了ftp匿名登录 image-20241224010611985
继续阅读2024年度网络安全热点事件盘点
2024年度网络安全热点事件盘点 原创 Hackernews 安全威胁纵横 2025-01-03 09:06 随着2024年的落幕,全球网络安全领域经历了一系列深刻变化和挑战。这一年,我们见证了网络攻击的规模和复杂性达到了前所未有的水平,从勒索软件的全球肆虐到数据泄露事件的惊人规模,网络安全事件的频发不仅考验了各国的安全防御能力,也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显,一方面,
继续阅读第二十课-系统学习代码审计:Java反序列化基础-fastjson反序列化漏洞原理分析fastjson利用条件分析
第二十课-系统学习代码审计:Java反序列化基础-fastjson反序列化漏洞原理分析fastjson利用条件分析 原创 开发小鸡娃 安全随心录 2025-01-01 14:50 /零 、写在前面/ 好久没更新了,后台好多私信最近都没看,有加群的和要源码的师傅的私信都没看到,以后尽力每周回复大家一次消息,入群的二维码放在了文章末尾,为了防止广告还是收费1元(只有二维码部分付费,这也是为了防止一些恶
继续阅读交流群新增github poc监控机器人
交流群新增github poc监控机器人 原创 棉花糖糖糖 棉花糖fans 2024-12-29 03:40 哦没有其他事,只是微信交流群添加了github监控推送,有需要的师傅可以通过公众号菜单栏加我微信,加上了发个“交流群”,我就会拉你进去的 往期文章 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动 网安新手起步举步维艰?分享一些我的经验 反面教材+1 切勿
继续阅读最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测
最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-26 16:00 0x01 工具介绍 NacosExploit是一款用于检测Nacos服务中已知漏洞的工具,支持自定义内存马功能,使渗透测试更加灵活。通过简单的FOFA查询语法,可以快速识别目标Nacos实例的认证绕过等问题。 下载地址在末尾 0x02 功能简介支持漏洞| PoC | Ex
继续阅读「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞
「漏洞复现」赛诸葛数字化智能中台系统 login SQL注入漏洞 冷漠安全 冷漠安全 2024-12-26 09:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读网络安全中的零日漏洞:如何快速响应突发威胁?
网络安全中的零日漏洞:如何快速响应突发威胁? 原创 专业 信息安全动态 2024-12-25 22:00 一、零日漏洞究竟是什么? 1.1 定义与来源 在网络安全领域,零日漏洞(zero-day Vulnerability)指的是一种利用没有修复方案的安全漏洞的攻击。之所以被称为 “零日” 威胁,是因为一旦发现漏洞,开发人员或相关组织只有 “零日”,也就是几乎没有时间来找出解决方案。由于漏洞已经被
继续阅读Nuclei-Scan分布式漏洞扫描平台-可联动 AssetsDetectAPI 资产搜集|漏洞探测
Nuclei-Scan分布式漏洞扫描平台-可联动 AssetsDetectAPI 资产搜集|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-25 16:00 0x01 工具介绍 NucleiPlatform 一个分布式漏洞扫描系统,支持基于 Nuclei 的多节点任务调度和自动化资产扫描。可分组管理资产,集成域名收集、端口扫描、指纹识别等功能,支持 Redis 和 Mongo 数据库
继续阅读YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC
YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC 2024-12-23更新 南风漏洞复现文库 2024-12-23 15:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YourPHPCMS 简介 微信公
继续阅读从技术抗衡走向体系化国家力量比拼——2024全球网络战呈现五大特点
从技术抗衡走向体系化国家力量比拼——2024全球网络战呈现五大特点 泛安全 2024-12-19 15:34 本文 7488 字 阅读约需 21 分钟 2024年,全球网络空间呈现区域性和阵营性紧张态势,世界强国国防网络建设竞争持续加速,网络空间正加速演变为战略威慑与控制新领域。国家间网络斗争博弈日益加剧,网络空间斗争从技术力量抗衡走向体系化国家力量比拼,网络战成为国家实现政治、军事、经济等
继续阅读cve-2024-53376:CyberPanel RCE 已发布PoC
cve-2024-53376:CyberPanel RCE 已发布PoC 棉花糖fans 2024-12-18 04:55 安全研究员 Thanatos 发现流行的虚拟主机控制面板 CyberPanel 存在一个严重漏洞 (CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。2.3.8 之前的 CyberPanel 版本易受此安全漏洞影响,通过验证的用户可注入并执行操作系统 (O
继续阅读Apache Struts RCE (CVE-2024-53677) POC公开
Apache Struts RCE (CVE-2024-53677) POC公开 棉花糖糖糖 剁椒鱼头没剁椒 2024-12-18 02:07 详情 Apache Struts 框架中存在一个关键漏洞 CVE-2024-53677。该漏洞在 CVSSv4 严重性等级中被评为 9.5 级,允许远程攻击者利用文件上传逻辑中的缺陷执行任意代码。 CVE-2024-53677 影响一系列 Apache
继续阅读充值499元成为VIP,开通权限后随时可约!|神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单;
充值499元成为VIP,开通权限后随时可约!|神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单; 黑白之道 2024-12-18 01:56 充值499元成为VIP,开通权限后随时可约! “充值499元成为VIP 可与美女约会!” 还有这等好事? 近日有人落入圈套 先充会员再刷单 11月1日19时 家住日照高新的小王刷视频 时 看到一条 “同城交友”广告 “充值499注册成为会员 可与美女约会
继续阅读以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击
以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-17 01:00 导读 研究人员发现了一个安卓 0day 漏洞,该漏洞被用于悄悄部署针对塞尔维亚记者的定制监控间谍软件。调查显示,该技术与以色列取证供应商 Cellebrite 有关。 在周一发布的一份技术报告中,该组织详细介绍了一种名为“NoviSpy”的新间谍软件感染记者
继续阅读如何有效防范勒索软件攻击?最新漏洞与防御策略
如何有效防范勒索软件攻击?最新漏洞与防御策略 原创 ITIL之家 信息安全动态 2024-12-15 22:22 点击进入信息安全资料库 一、勒索软件攻击现状解析 (一)近年攻击趋势概述 近年来,勒索软件攻击呈现出愈发严峻的态势,在数量、频次以及危害程度等方面都发生了显著变化。 从攻击数量和频次来看,呈爆发式增长趋势。据不完全统计,Ransomfeed勒索论坛数据显示,2021年至2024年,暗网
继续阅读考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 黑白之道 2024-12-14 01:55 考研还有VIP?人财两空要注意! 2025年全国硕士研究生招生考试即将拉开帷幕,“包过”、“考研VIP通道”等广告词在考生群里传播。请考生及家长切勿听信谣言,铤而走险,最终只会落得人财两空! 案例分享 在2024年全国硕士研究生招生考试中,网安部门打掉一个以“考
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开
Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开
Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命
【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 原创 索勒安全团队 solar应急响应团队 2024-12-11 01:02 引言:在之前的文章【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告中,我们提到,尽管许多企业已经部署了众多安全设备和备份解决方案,并建立了相对成熟的安全运营体系,但在如此复杂的网络环境中,依然存在漏洞,导致
继续阅读一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测
一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-10 16:00 0x01 工具介绍 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子,就这样有了 dirsx。当时是使用 python 写的,但是可移植性不是很好。所以使用 golang 进行
继续阅读一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试
一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试 漏洞挖掘 渗透安全HackTwo 2024-12-09 16:00 0x01 工具介绍 Wavely是一个nuclei POC管理工具,支持模板的增删查改、请求响应包查看、并行扫描等功能,兼容MacOS、Windows和Linux系统。它采用全新的nuclei v3检测引擎,支持自定义DNSLOG服务器和多种模板导入方式,并提
继续阅读数据安全新动态(2024年11月)
数据安全新动态(2024年11月) 河南省工信安联盟 安全牛科技 2024-12-09 09:30 1、国内外数据安全政策动态 1.1.国内数据安全政策动态 1.1.1.国家数据局向社会公开征求《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的意见 为贯彻党的二十届三中全会精神,落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,促进数据要素合规高效流通使用
继续阅读2024年10月份恶意软件之“十恶不赦”排行榜
2024年10月份恶意软件之“十恶不赦”排行榜 何威风 河南等级保护测评 2024-12-09 03:44 利用虚假的 CAPTCHA 页面来传播 Lumma Stealer 恶意软件,该恶意软件已攀升至月度恶意软件排行 榜第四位。 该活动以其全球影响力而著称,通过两种主要感染媒介影响多个国家:一种涉及破解的游戏下载 URL,另一种是通过针对 GitHub 用户的网络钓鱼电子邮件作为一种创新的攻击
继续阅读思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用
思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 汇能云安全 2024-12-06 01:30 12月6日,星期五,您好!中科汇能与您分享信息安全快讯: 01 构建 “数字监狱”?苹果公司被控非法监控员工个人设备和通讯 一名在职苹果员工于2024年12月1日在加利福尼亚州法院提起诉讼,指控苹果公司实施侵入性监控行为,过度监控员工个人生活。 自2020年起担任苹果数
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览
Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读钓鱼网页散播银狐木马,远控后门威胁终端安全
钓鱼网页散播银狐木马,远控后门威胁终端安全 原创 火绒安全 火绒安全 2024-12-04 13:44 在当今网络环境下,许多人都有通过搜索引擎下载应用程序的习惯,虽然这种方式简单又迅速,但这也可能被不法分子所利用,通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击,从而进行病毒的传播,危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识,通过官方正规的
继续阅读