漏洞预警 | Eking管理易任意文件上传漏洞
漏洞预警 | Eking管理易任意文件上传漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 EKing管理易是广州易凯软件技术有限公司专为广告制品制作企业开发的一款管理软件产品。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意文件**** 简述: EKing管理易的/B
继续阅读标签: 广告
当信息安全成为廉价商品的时候,崩盘是迟早的!
当信息安全成为廉价商品的时候,崩盘是迟早的! 原创 JUN哥 君说安全 2024-12-02 07:14 ❤* 请点击上方 ⬆ ⬆ ⬆ 关注*君说安全!❤ “ 网络安全不应该是廉价的商品,更不应该成为普适的产品,想要安全,还是要付出一定的成本才行,并且是持续的成本。 ” 作为从业网络安全多年的我认为, 安全一定不是廉价的,包括网络安全安全产品和网络安全服务。但是,现在网络安全行业被做的很低价,甚至
继续阅读记一次从0到1的漏洞挖掘过程 发现Accesssecret泄露实现权限接管 越权等漏洞|挖洞技巧
记一次从0到1的漏洞挖掘过程 发现Accesssecret泄露实现权限接管 越权等漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-12-01 16:00 0x01 前言 通过分析目标系统的前端JS代码,发现了泄露的 heapdump 文件,从中提取云服务的 accesskey 和 accesssecret 实现权限接管。在某通用系统中,利用水平越权删除他人API和垂直越
继续阅读Docker Registry 未授权访问漏洞利用(工具+利用思路)
Docker Registry 未授权访问漏洞利用(工具+利用思路) 原创 黑熊先生 黑熊安全 2024-11-30 07:09 亲爱的读者,我们诚挚地提醒您,黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 漏洞描述
继续阅读D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞
D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞 Superhero nday POC 2024-11-29 08:27 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除
继续阅读知名压缩软件被曝严重漏洞,谁会成为受害者?
知名压缩软件被曝严重漏洞,谁会成为受害者? 奇安信集团 2024-11-28 10:08 近日,主流文件压缩工具7-Zip被曝存在一个严重安全漏洞,攻击者可以利用该漏洞在当前进程上下文执行代码,可能导致攻击者获取与登录用户相同的访问权限,实现完全的系统绕过。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 目前,7-Zip已在24.07版本中修
继续阅读网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享
网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享 原创 扬名堂 东方隐侠安全团队 2024-11-26 14:28 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 7 – Zip存在高危漏洞,请立刻更新 2024 年 11 月 24 日,do son 报道了 7 – Zip
继续阅读著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477
著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477 原创 棉花糖糖糖 棉花糖fans 2024-11-26 04:07 在流行的文件压缩工具7-Zip中发现了一个高危漏洞(CVE-2024-11477),可能允许攻击者在易受攻击的系统上执行恶意代码。 该漏洞由趋势科技安全研究人员Nicholas Zubrisky发现,存在于程序的Zstandard解压缩功能中。由于对用户
继续阅读2024年wordpress、d-link等相关的多个cve漏洞poc
2024年wordpress、d-link等相关的多个cve漏洞poc 棉花糖fans 2024-11-24 12:14 ⚠️ 漏洞 ✅ CVE-2024-10914 在D-Link DNS-320、DNS-320LW、DNS-325和DNS-340L中发现的漏洞,版本直到20241028 GET /cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name
继续阅读国外黑五安全系列证书折扣信息情报
国外黑五安全系列证书折扣信息情报 原创 道玄安全 道玄网安驿站 2024-11-23 03:13 “ 国外双十一到了” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(2)
网络安全顶刊——TIFS 2024 论文清单与摘要(2) 漏洞战争 漏洞战争 2024-11-23 02:26 87、Covert Transmission in Water-to-Air Optical Wireless Communication Systems 隐蔽通信通过确保合法接收者(Bob)能够满意地解码,同时隐藏信息传输,使其不被警惕的对手(Willie)发现。在本文中,我们提出了一
继续阅读5th域安全微讯早报【20241123】282期
5th域安全微讯早报【20241123】282期 网空闲话 网空闲话plus 2024-11-23 01:25 2024-11-23 星期六**Vol-2024-282 今日热点导读 **1. 乘客要求审计TSA识别技术的隐私与准确性 2. 美国司法部要求谷歌剥离Chrome以严重搜索垄断 3. 《2024年医疗保健网络安全和弹性法案》聚焦加强医疗数据保护 4. 英国饮用水供应因网络事件频发而中断
继续阅读迫切需要优先考虑移动安全
迫切需要优先考虑移动安全 原创 铸盾安全 河南等级保护测评 2024-11-21 16:01 现代企业的移动性远超以往。自带设备 (BYOD) 和公司所有、个人启用 (COPE)、混合工作和企业移动性计划等趋势正在加速发展,使移动设备能够以前所未有的方式访问和与企业数据系统交互。据 Verizon 称,超过一半 (55%) 的组织拥有比 12 个月前更多的移动设备用户,而 Zimperium 声称
继续阅读【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914)
【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) 原创 红岸基地赵小龙 暗影网安实验室 2024-11-21 01:00 产品简介 D.LinK NASQ 设备是一种基于网络的存储解决方案,作为网络存储设备,旨在为企业提供大容量的存储空间,并通过网络连接实现数据的访问和管理。这种设备不仅满足了企业对数据存储的需求,还提供了高效的数据共享和
继续阅读美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览
美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览 安全牛 2024-11-20 12:16 点击蓝字·关注我们 / aqniu 新闻速览 •2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕 •《工业和信息化领域数据安全合规指引》联合发布 •美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露 •ClickFi
继续阅读DataCon晚自习 | 浅谈大模型辅助漏洞挖掘
DataCon晚自习 | 浅谈大模型辅助漏洞挖掘 eeuk DataCon大数据安全分析竞赛 2024-11-20 10:43 本文转载自“奇安信天工实验室” DataCon2024 正在如火如荼地进行,本次竞赛漏洞分析赛道题目融入了大模型的背景,以探索大模型在漏洞挖掘工作中的利用,本篇文章将为大家讲述大模型辅助漏洞挖掘相关内容,参赛者必看哦。 目 录 一、前 言 二、函数级别漏洞检测 三、代码
继续阅读一款越权漏洞检测的 Burp 插件 内置AI模块辅助分析大幅降低误报率效|漏洞探测
一款越权漏洞检测的 Burp 插件 内置AI模块辅助分析大幅降低误报率效|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-11-19 16:01 0x01 工具介绍 AutorizePro🧿 是一款基于 Autorize 开发的 Burp Suite 插件,专注于越权漏洞检测。通过新增 AI 分析模块和优化逻辑,大幅降低误报率(从 99% 降至 5%)。用户可通过配置低权限验证头和拦截规则
继续阅读「漏洞复现」D-Link NAS设备 sc_mgr.cgi 未授权漏洞
「漏洞复现」D-Link NAS设备 sc_mgr.cgi 未授权漏洞 冷漠安全 冷漠安全 2024-11-19 13:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文
继续阅读【漏洞复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞复现
【漏洞复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞复现 河北镌远 河北镌远网络科技有限公司 2024-11-19 09:39 点击箭头处 “蓝色字” ,关注我们哦!! 产品简介 D-Link NAS设备是一种基于网络的存储解决方案,作为网络存储设备,旨在为企业提供大容量的存储空间,并通过网络连接实现数据的访问和管理。这种设备不仅满足了企业对数据存储的需求,还提供了高效的数
继续阅读DeepData 恶意软件框架被发现利用尚未修补的 Windows 0day漏洞、Fortinet VPN 客户端
DeepData 恶意软件框架被发现利用尚未修补的 Windows 0day漏洞、Fortinet VPN 客户端 会杀毒的单反狗 军哥网络安全读报 2024-11-19 01:00 导读 网络安全公司 Volexity 报告称,DeepData 恶意软件框架被发现利用 Windows 版 Fortinet VPN 客户端中的0day漏洞窃取凭证。 DeepData 是一个依赖多个插件的监控框架,
继续阅读记一次某SRC的漏洞挖掘过程|挖洞技巧
记一次某SRC的漏洞挖掘过程|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-11-17 16:00 0x01 前言 通过对目标公司及其相关子域名资产的深入测试,发现多个漏洞:文件上传导致敏感信息泄露(STS授权信息)、小说网站用户越权访问漏洞(批量枚举用户信息)、未授权接口访问与反射型XSS。过程中结合多种技术手段进行验证,尽管一些漏洞影响有限,但全程提升了对渗透测试中功
继续阅读AI代码审计和POC编写
AI代码审计和POC编写 原创 道玄安全 道玄网安驿站 2024-11-16 15:25 “ AI做代码审计和POC编写真好使” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞
继续阅读挖掘漏洞-小白到脚本小子的进阶之路(小脑篇)
挖掘漏洞-小白到脚本小子的进阶之路(小脑篇) 原创 小白 吉吉说安全 2024-11-13 22:13 书接上篇,小白如何挖掘属于自己的第一个漏洞(无脑篇) ,在这篇文章中我们讲解了小白🥬怎么挖掘漏洞,这个方法很简单但是有个致命的缺点就是 无法在自己 喜欢的妹子面前 装逼, 无法在室友面前 炫耀,这样子 失去了原本的味道,变得黯然无味,那 这篇文章的意义就在于用 炫酷的脚本装一个 大逼,非常的有意
继续阅读DataGear resolveSql 远程代码执行漏洞
DataGear resolveSql 远程代码执行漏洞 原创 黑熊先生 黑熊安全 2024-11-12 16:57 亲爱的读者,我们诚挚地提醒您,黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! POC POST /
继续阅读加拿大政府以国家安全为由下令TikTok关闭在加业务;思科工业无线设备曝高危漏洞,未授权者也可获得root权限 | 牛览
加拿大政府以国家安全为由下令TikTok关闭在加业务;思科工业无线设备曝高危漏洞,未授权者也可获得root权限 | 牛览 安全牛 2024-11-08 11:52 击蓝字·关注我们 / aqniu 新闻速览 •加拿大政府以国家安全为由下令TikTok关闭在加业务 •违规收集用户政治倾向等敏感数据,韩国对Meta开出1.11亿元巨额罚 •美军网络司令部试点AI工具成效显著,网络防御能力快速提升
继续阅读【安全圈】微软SharePoint RCE漏洞,安装火绒杀毒后导致安全防护崩溃
【安全圈】微软SharePoint RCE漏洞,安装火绒杀毒后导致安全防护崩溃 安全圈 2024-11-05 19:00 关键词 安全漏洞 据媒体报道,微软SharePoint存在远程代码执行(RCE)漏洞,漏洞编号CVE-2024-38094(CVSS评分:7.2) ,并且正在被黑客利用,以此获取对企业系统的初始访问权限。 微软SharePoint是一个流行的协作平台,与微软365无缝集成 ,允
继续阅读【安全圈】重大突破,谷歌AI大模型首次找到0Day漏洞
【安全圈】重大突破,谷歌AI大模型首次找到0Day漏洞 安全圈 2024-11-05 19:00 关键词 零日漏洞 谷歌公司日前表示,旗下一款名为“ Big Sleep ”(前称 Project Naptime)的大语言模型(LLM)辅助框架在 SQLite 开源数据库引擎中发现了一个零日漏洞,并称这是该类型AI工具首次在实际广泛使用的软件中发现零日漏洞。 SQLite 是一种在开发人员中流行的开
继续阅读Open-Source Intelligence Summit 2024议题慢递
Open-Source Intelligence Summit 2024议题慢递 原创 Avenger 威胁棱镜 2024-11-05 12:04 SANS 举办的开源情报峰会,探讨 OSINT 与其他形式的情报工作之间的关系。 若是通过本文的介绍,或者是查看官网议程安排后,对其中某些议题感兴趣的话,就可以在官网下载议题对应的材料进行扩展阅读。(PS:笔者根据自身的认知局限与好恶为部分议题打了推荐
继续阅读CVE-2024-9465:Palo Alto Expedition 未经身份验证的 SQL 注入 POC
CVE-2024-9465:Palo Alto Expedition 未经身份验证的 SQL 注入 POC 合规渗透 2024-10-26 09:59 2024 年 7 月 10 日,Palo Alto 发布了CVE-2024-5910的安全公告,该漏洞允许攻击者远程重置 Expedition 应用程序管理员凭据。虽然我们以前从未听说过Expedition应用程序,但它的广告是: 此工具的目的是帮
继续阅读【知道创宇404实验室】警惕CVE-2024-47575针对Fortinet FortiManager的认证绕过漏洞
【知道创宇404实验室】警惕CVE-2024-47575针对Fortinet FortiManager的认证绕过漏洞 404实验室 知道创宇404实验室 2024-10-24 18:58 近日,Fortinet公司披露了CVE-2024-47575漏洞,涉及FortiManager中的认证绕过问题。攻击者可以利用该漏洞,在未授权的情况下执行任意命令或代码,进而对系统造成潜在的严重影响。据官方广告称
继续阅读