秦安:安防“三大漏洞”告诉枪击真相,特朗普将更加危险,利东方
秦安:安防“三大漏洞”告诉枪击真相,特朗普将更加危险,利东方 原创 秦安战略 秦安战略 2024-07-18 22:39 川普“一耳成名”“八枪封神”。枪击嫌疑犯马上就被击毙了,这得是一个死士啊!一个20岁的毛头小伙子,手持 AR-15步枪, 特朗普怎么敢把性命交给他。所以,说特朗普是苦肉计的,就不用讲了。 非常可笑的是,过了气的台湾省陈水扁也凑热闹,说和他当年有很多相似之处。这还真不一样!这种东
继续阅读标签: 广告
【安全圈】Cisco 再曝超严重漏洞,黑客可修改管理员密码
【安全圈】Cisco 再曝超严重漏洞,黑客可修改管理员密码 安全圈 2024-07-18 19:00 关键词 安全漏洞 近日,思科公司披露了其智能软件管理器本地版(SSM On-Prem)中的一个关键漏洞,该漏洞允许未经身份验证的远程攻击者更改任何用户的密码,包括管理员用户的密码。这个漏洞被追踪为 CVE-2024-20419,其严重程度评分为 10 分。 据悉,该漏洞是由于思科 SSM On-P
继续阅读命令执行无回显利用总结 附工具
命令执行无回显利用总结 附工具 两年半网安练习生 2024-07-05 18:32 免责声明 安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止
继续阅读评论 | 防网络沉迷机制有漏洞 谨防“青少年模式”被架空
评论 | 防网络沉迷机制有漏洞 谨防“青少年模式”被架空 田文平 中国信息安全 2024-07-03 18:41 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 暑假将至,如何引导未成年人正确上网,防止其沉迷网络,是不少家长的急难愁盼。《未成年人网络保护条例》要求,网络游戏等网络服务提供者应当针对不同年龄阶段未成年人使用其服务的特点,设置未成年人模式。“青少年模
继续阅读web 0day 大全(一)
web 0day 大全(一) 原创 零漏安全 零漏安全 2024-06-22 10:02 SQL注入 1.发生方式 通过将恶意的DQL或者DML语句添加到应用的输入参数中,经过后端代码拼接成语句,再在后台数据库服务器上解析执行进行的攻击 1.1典型案例 布尔盲注 时间盲注 报错盲注 联合查询 1.2攻击方式 1、判断是否存在注入点(只要有变化就可能存在) http://192.168.13.100
继续阅读500万美元!天价安卓0day漏洞暗网开卖
500万美元!天价安卓0day漏洞暗网开卖 网络安全应急技术国家工程中心 2024-06-17 15:49 名为Sp3ns3r的泄露论坛用户于2024年6月16日(星期日)止午 6:50发帖,声称其掌握安卓操作系统的某个RCE,该漏洞利用为零点击,威力无比,但该泄露者并在漏洞论坛上并没有给出报价。跟帖者表示是不是需要500万美元。短短的贴文只透露了有限的信息,该漏洞可用于安卓11、12、13、14
继续阅读【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天
【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天 原创 heige 黑哥虾撩 2024-06-14 15:10 之前我写过很多通过ZoomEye来对勒索等攻击事件进行态势感知的案例(请翻看本号的历史文章),这次简单看看这几天的CVE-2024-4577 PHP这个漏洞,这里直接ZoomEye搜索php.locked 这个主要找到都是存在目录遍历问题的目标,因为很多的
继续阅读【漏洞预警】Whoogle Search文件写入漏洞(CVE-2024-22204)
【漏洞预警】Whoogle Search文件写入漏洞(CVE-2024-22204) cexlife 飓风网络安全 2024-06-13 22:32 漏洞描述:Whoogle Search是一个应用软件,自托管,没有广告,privacy-respecting元搜索引擎Whoogle Search0.8.3及之前版本存在文件写入漏洞,该漏洞源于app/routes.py中的config功能未正确验证
继续阅读新的 PHP 漏洞将 Windows 服务器暴露在远程代码执行中
新的 PHP 漏洞将 Windows 服务器暴露在远程代码执行中 道玄安全 道玄网安驿站 2024-06-09 09:49 “ 新闻” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑
继续阅读【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户
【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户 安全圈 2024-06-08 19:00 关键词 TikTok 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说
继续阅读【安全圈】59% 公共部门的应用程序长期存在安全漏洞
【安全圈】59% 公共部门的应用程序长期存在安全漏洞 安全圈 2024-06-03 19:02 关键词 安全漏洞 根据 Veracode 的数据显示,公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。 Veracode 在一份报告中,详细调查分析了全球超过 25 个国家的公共部门组织,最终发现 59% 的公共部门应用程序存在安全漏洞(超过一年仍未修复的安全漏洞)。值得一提的是,把
继续阅读价值3900$的越权帮别人添加商品的支付漏洞
价值3900$的越权帮别人添加商品的支付漏洞 原创 道玄安全 道玄网安驿站 2024-06-02 08:30 “ H1” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,
继续阅读CVE-2024-33559
CVE-2024-33559 道玄安全 道玄网安驿站 2024-05-29 18:55 “wordpress ” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可以私聊。
继续阅读ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎
ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎 原创 jinyu 影域实验室 2024-05-29 17:22 免责声明: 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失
继续阅读使用 Google Dorks 的实例(漏洞、文件、IoTs 等)
使用 Google Dorks 的实例(漏洞、文件、IoTs 等) 原创 imBobby imBobby的自留地 2024-05-29 16:05 家人们 点击上方 蓝字关注我 开源情报的应用:Google Dorks 打造强大的安全运营中心:解读 OSINT 工具 之前有讲过 Google Dorks,实际上用好 Google Dorks 能收集到很多有用情报,且不仅限于 Google、Bing
继续阅读苹果WiFi定位系统漏洞可监控全球数亿设备
苹果WiFi定位系统漏洞可监控全球数亿设备 安信安全 安信安全 2024-05-28 17:00 近日,美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统(WPS)存在安全设计缺陷,可用于大规模监控全球用户(不使用苹果设备的人也会被监控),从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位:可监控全
继续阅读黑客利用 VMware ESXi 漏洞进行勒索软件攻击
黑客利用 VMware ESXi 漏洞进行勒索软件攻击 关键基础设施安全应急响应中心 2024-05-27 15:34 针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件,都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到:虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,这使它们成为威胁行为者有利可图和高
继续阅读【安全圈】黑客利用 VMware ESXi 漏洞进行勒索软件攻击
【安全圈】黑客利用 VMware ESXi 漏洞进行勒索软件攻击 安全圈 2024-05-24 19:02 关键词 勒索软件 针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件,都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到:虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,这使它们成为威胁行为者有利可
继续阅读2024 年第一季度漏洞和漏洞利用趋势分析
2024 年第一季度漏洞和漏洞利用趋势分析 山卡拉 嘶吼专业版 2024-05-21 14:00 在本报告中,卡巴斯基提供了一系列具有洞察力的统计和分析快照,涉及新漏洞和漏洞利用的趋势,以及攻击者最常使用的漏洞。此外,本报告还研究了 2024 年第一季度发现的几个值得注意的漏洞。 已登记漏洞统计 为了更好地管理漏洞,供应商可以注册这些漏洞并分配 CVE 标识符。所有标识符和相关公共信息均发布在 h
继续阅读微软Outlook通杀0Day漏洞:黑客开价1,700,000美元
微软Outlook通杀0Day漏洞:黑客开价1,700,000美元 关键基础设施安全应急响应中心 2024-05-15 14:59 一个名为“Cvsp”的威胁参与者宣布出售所谓的Outlook远程代码执行 (RCE) 0day漏洞。这一所谓的漏洞旨在攻击跨x86和x64架构的各种Microsoft Office版本(2016、2019、LTSC 2021、365 Apps for Enterpri
继续阅读联软安全数据摆渡系统任意文件读取漏洞|漏洞预警
联软安全数据摆渡系统任意文件读取漏洞|漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-05-14 00:01 0x01 产品简介 联软安全数据摆渡系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、共享/分享、存储的理想安全设备,具有开创性意义。 这里我推荐
继续阅读卡巴斯基:2024年Q1漏洞和利用报告
卡巴斯基:2024年Q1漏洞和利用报告 原创 晶颜123 FreeBuf播客电台 2024-05-13 17:39 作者 | 晶颜123 编 | 疯狂冰淇淋 近日,卡巴斯基发布了《2024年Q1漏洞和利用报告》,提供了一系列有洞察力的统计和分析快照,揭示了新漏洞和利用的发展趋势,以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。 | 已注册漏洞统计数据**** | 为了便于
继续阅读那些被遗漏的逻辑漏洞|挖洞技巧
那些被遗漏的逻辑漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-05-13 00:00 0x01 前言 这类漏洞虽然在红蓝对抗不值钱,但在src中却是一个高危,因为会给企业和用户带来很多隐患,此类漏洞会造成任意用户注册/登录,导致黑灰产恶意注册产生僵尸号,薅取大量活动礼品并且造成用户信息泄露等。 谈到该漏洞,大家应该会想到诸如:验证码复用、爆破、泄露、cookie,注册链接可预测等,
继续阅读JScanner一款隐藏Url接口探测/目录递归访问请求工具|漏洞探测
JScanner一款隐藏Url接口探测/目录递归访问请求工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-05-08 00:00 0x01 工具介绍 在去年,我测试了无数网站,但是某些网站无论如何都不能搞定它,看了好多别人的实战思路,我总结出来了一点,那些大佬们总是会在前期在js文件当中收集信息,收集到别人在fofa还是鹰图上面探测不到了信息。于是我便想写一款工具来帮助自己在前期更好的
继续阅读最新Linux_Nessus2024.5.6版本主机漏洞扫描/探测工具下载Linux/Windows版
最新Linux_Nessus2024.5.6版本主机漏洞扫描/探测工具下载Linux/Windows版 原创 城北 渗透安全HackTwo 2024-05-07 00:00 前言 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进
继续阅读H1:价值4860$的 CVE漏洞
H1:价值4860$的 CVE漏洞 道玄安全 道玄网安驿站 2024-05-04 08:01 “ CVE-2024-24806 ” 看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP备考,车联网,渗透红队以及漏洞挖掘工具等信息分享,欢迎加入;以及想挖SRC逻辑漏洞的朋友,可以私
继续阅读AJ-Report数据大屏系统存在命令执行漏洞(未公开)|漏洞预警
AJ-Report数据大屏系统存在命令执行漏洞(未公开)|漏洞预警 原创 漏洞挖掘 渗透安全HackTwo 2024-05-03 18:13 0x01 产品简介 AJ-Report是一个完全开源的BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu等多种驱动,支持自定义数据集省去数据接口开发,支持17+种大屏组件
继续阅读一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测
一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-05-01 00:01 0x01 工具介绍 攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该Burp插件我们可以: 1 、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证
继续阅读用友NC grouptemplet 任意文件上传漏洞
用友NC grouptemplet 任意文件上传漏洞 原创 fgz AI与网安 2024-04-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 次条通常是广告,内容我也没验证,感兴趣的自行验证,不感兴趣的忽略。 01 — 漏洞名称 用友NC grou
继续阅读Venom流量转发-自动化捡洞/打点必备神器|漏洞挖掘
Venom流量转发-自动化捡洞/打点必备神器|漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-26 00:00 0x01 工具介绍 鉴于平时挖洞打点时用到被动扫描器,在挖洞时又喜欢在多台服务器上部署不同的代理扫描器,总会有捡洞的那一天,在使用Burp做流量转发的时候发现流量只能转发到置于首个的扫描器,于是又使用了passive-scan-client 该工具进行流量转发,但是还是不得
继续阅读