美国CISA敦促开发人员消除缓冲区溢出漏洞
美国CISA敦促开发人员消除缓冲区溢出漏洞 安全学习那些事儿 2025-02-16 23:00 2025年2月14日, 美国网络安全和基础设施安全局CISA再次提醒IT制造商和开发人员,必须消除软件中的缓冲区溢出漏洞。简而言之,企业需要快速采用”安全设计”政策。 CISA针对缓冲区溢出漏洞发布了一项新的警报,敦促软件行业采用正确的编程方法来消除一整类危险的安全漏洞。CISA
继续阅读标签: 敏感信息
Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法
Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法 sec0nd安全 2025-02-16 09:30 很久没发文章了,最近时间零零散散的。新开一个栏目,平时打项目时在网上发现的或者自己捣鼓出来的小技巧专门丢到这个栏目里。这个栏目的每篇文章的格式可能不会很严谨,文章内容也不会很长,主要是分享一些实用小技巧。 平时在做渗透的时候,偶尔会遇到一些java应用的配置文件做了加密,常见
继续阅读马斯克麻烦缠身!DOGE官网现重大安全漏洞被黑客发布警告信息
马斯克麻烦缠身!DOGE官网现重大安全漏洞被黑客发布警告信息 原创 网空闲话 网空闲话plus 2025-02-16 00:51 综合Cybersecuritynews、Yahoo等网站2月15日消息,伊隆·马斯克领导的政府效率部(DOGE)推出的官方网站被发现存在严重的安全漏洞,允许未经授权的用户直接修改网站内容。该漏洞源于网站使用了一个不安全的外部数据库,使得任何人都可以实时发布和显示内容。网
继续阅读用友网络 用友NC linkVoucher 未授权 SQL注入漏洞
用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友NC linkVoucher 接口存在一个SQL注入漏洞,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。
继续阅读蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当
继续阅读蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当漏洞
继续阅读蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当漏洞,未经授权的攻击者可以通过
继续阅读CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC)
CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力
继续阅读CVE-2025-25064|Zimbra存在SQL注入漏洞(POC)
CVE-2025-25064|Zimbra存在SQL注入漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路
从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路 安全小白团译文 安全小白团 2025-02-14 22:01 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 在这篇文章中,我将详细介绍我和 Orwa Atyat如何成功将一个受限的路径遍历漏洞升级为 RCE,并因此赢得40,000 美元的赏金的故
继续阅读用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露
用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友安全中心发布安全公告,其中公开了一个GRP-U8Cloud内控管理软件(taskcenter)的逻辑缺陷漏洞
继续阅读IDocView在线文档预览qJvqhFt.json任意文件读取漏洞
IDocView在线文档预览qJvqhFt.json任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-14 14:09 漏洞描述I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofatitle==”在线文档预览 – I Doc View”2、部分界面如
继续阅读【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》
【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》 原创 天极智库 天极智库 2025-02-14 10:00 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence
继续阅读漏洞预警 | 大为知识产权协同创新管理系统未授权访问漏洞
漏洞预警 | 大为知识产权协同创新管理系统未授权访问漏洞 浅安 浅安安全 2025-02-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 大为知识产权协同创新管理系统是一款专为企业、科研机构及知识产权代理机构设计的软件,旨在提升知识产权管理效率,促进协同创新。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 获取敏感
继续阅读漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞
漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞 浅安 浅安安全 2025-02-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 平升电子水库安全监管平台通过实时监测、数据分析、预警系统和远程控制等功能,为水库管理部门提供了一种全面、高效的数字化解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感
继续阅读暗网情报4则:又见SS7漏洞
暗网情报4则:又见SS7漏洞 原创 网空闲话 网空闲话plus 2025-02-13 23:26 1、威胁者出售oTello SS7零日漏洞,标价5万美元XMR 2025年2月14日,威胁情报平台Dark Web Informer发布消息称,有威胁者正在暗网出售oTello SS7的零日漏洞,标价为50,000美元XMR(门罗币)。SS7协议漏洞长期以来被用于窃听电话、拦截短信等攻击,此次零日漏洞
继续阅读Windows存储系统现0day漏洞,攻击者可远程删除目标文件
Windows存储系统现0day漏洞,攻击者可远程删除目标文件 AI小蜜蜂 FreeBuf 2025-02-13 11:02 Windows系统近日被曝出一个重大安全漏洞,攻击者可利用该漏洞远程删除受影响系统上的目标文件。该漏洞编号为CVE-2025-21391,于2025年2月11日披露,属于权限提升漏洞,严重性被评定为”重要”级别。 漏洞详情与风险分析 CVE-2025
继续阅读【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606)
【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v.3.7.2版本存在安全漏洞,该漏洞源于包含一个SQL注入漏洞允许远程攻击者通过getTotalData组件获取敏感信息
继续阅读安全快报 | 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击
安全快报 | 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击 天懋信息 2025-02-13 01:25 本周安全事件速览 02月06日-02月12日 01 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击 简要介绍**** 俄罗斯黑客 近期开发 了一个 可以有效 使用 7-Zip程序 发起 零日漏洞 的攻击手段 。安全公司 Trend Mic
继续阅读2025年2月微软补丁日多个高危漏洞安全风险通告
2025年2月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了2月份的安全更新公告,共修复了63个漏洞,修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏
继续阅读漏洞预警 | 视频话机设备信息泄露漏洞
漏洞预警 | 视频话机设备信息泄露漏洞 浅安 浅安安全 2025-02-13 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 星网锐捷视频话机是一个新型的IP多媒体电话与最先进的视频压缩技术相结合的设备。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息 简述: 星网锐捷视频话机设备的/console/secur
继续阅读漏洞复现 || DATAGerry 终端节点接口敏感信息泄露
漏洞复现 || DATAGerry 终端节点接口敏感信息泄露 韩文庚 我爱林 2025-02-12 11:19 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
继续阅读2025-02微软漏洞通告
2025-02微软漏洞通告 火绒安全 火绒安全 2025-02-12 09:17 微软官方发布了2025年2月的安全更新。本月更新公布了141个漏洞,包含26个远程执行代码漏洞、20个特权提升漏洞、9个拒绝服务漏洞、5个身份假冒漏洞、2个安全功能绕过漏洞、1个篡改漏洞、1个信息泄露漏洞,其中4个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读微软2月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞
微软2月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞 奇安信 CERT 2025-02-12 01:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年2月补丁日多个产品安全漏洞 影响产品 Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等。 公开时间 2025-02-12 影响对象数量级 千万级
继续阅读漏洞预警 | LED屏信息发布系统信息泄露漏洞
漏洞预警 | LED屏信息发布系统信息泄露漏洞 浅安 浅安安全 2025-02-12 00:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 星网锐捷DMB-BS LED屏信息发布系统是一套专业的数字媒体远程播放控制系统,它主要用于将各类媒体文件组合成多媒体节目,并通过网络传输到LED显示屏上进行有序的分屏或全屏播放。 0x03 漏洞
继续阅读漏洞预警 | 亿华人力资源管理系统目录遍历漏洞
漏洞预警 | 亿华人力资源管理系统目录遍历漏洞 浅安 浅安安全 2025-02-12 00:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 亿华人力资源管理系统只是一款专业的人力资源管理软件,旨在帮助企业高效管理员工考勤情况。 0x03 漏洞详情 漏洞类型: 目录遍历 影响: 获取敏感信息 简述: 亿华人力资源管理系统的/filem
继续阅读漏洞预警 | 灵当CRM任意文件上传和信息泄露漏洞
漏洞预警 | 灵当CRM任意文件上传和信息泄露漏洞 浅安 浅安安全 2025-02-12 00:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本文件 简述: 灵当CRM的/crm/uploaddify/uplo
继续阅读APP渗透测试 — 越权漏洞
APP渗透测试 — 越权漏洞 Web安全工具库 2025-02-11 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: 扫描二维码 免费下载观看 链接:https://pan.quark.cn/s/5b6324e49ef5 00:04 – 讲解权限相关漏洞:垂直越权与水平越权 本次讲解聚焦于网站权限相关的漏洞,具体分析了垂直越权和水平越权的概念及其表现形式。
继续阅读