某阅读器支付逻辑漏洞
某阅读器支付逻辑漏洞 进击的HACK 2024-12-14 23:55 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 公司:北京某某教育科技有限公司 奇安信搜索:icp.name=”北京某某教育科技有限公司” 补天不收录上传型XSS漏洞,但是感觉有些必要,当做学习思路,也一
继续阅读标签: 敏感信息
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读漏洞预警 | YourPHPCMS SQL注入漏洞
漏洞预警 | YourPHPCMS SQL注入漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 YourphpCMS是一款完全开源免费的PHP+MYSQL系统,强大灵活的后台管理功能、任何添加多国语言功能、静态页面生成功能、自定义模型功能、自制插件安装管理功能、自定义幻灯片模板等可为企
继续阅读漏洞预警 | I Doc View SSRF漏洞
漏洞预警 | I Doc View SSRF漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。 0x03 漏洞详情 漏洞类型: SSRF 影响: 获取
继续阅读漏洞预警 | 顺景ERP管理系统任意文件下载漏洞
漏洞预警 | 顺景ERP管理系统任意文件下载漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 顺景ERP管理系统是一款为中小型企业量身打造的企业资源规划软件,旨在帮助企业优化业务流程、提高效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: 任意文件下载 影响: 获取敏感信息 简述
继续阅读赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞
赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞 thelostworld 2024-12-14 00:00 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励
利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励 迪哥讲事 2024-12-13 15:50 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞
【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读上周关注度较高的产品安全漏洞(20241202-20241208)
上周关注度较高的产品安全漏洞(20241202-20241208) 中国电信安全 2024-12-13 09:31 一、境外厂商产品漏洞 1、NETGEAR XR300 usb_approve.cgi组件缓冲区溢出漏洞 NETGEAR XR300是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于usb_approve.
继续阅读超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中
超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中 独眼情报 2024-12-13 03:22 在本研究中,我们揭示了Prometheus生态系统中的几个漏洞和安全缺陷。这些发现涵盖了三个主要领域:信息泄露、拒绝服务(DoS)攻击和代码执行。 主要发现 暴露在外的Prometheus服务器或导出器,通常缺乏适当的身份验证,使攻击者能够轻松收集敏感信息
继续阅读玲珑安全直播:单洞赏金1万美刀的漏洞思路分享
玲珑安全直播:单洞赏金1万美刀的漏洞思路分享 玲珑安全 芳华绝代安全团队 2024-12-13 02:43 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开海外SRC的神秘面
继续阅读Spring漏洞测试与利用
Spring漏洞测试与利用 黑白之道 2024-12-13 02:02 Spring Boot基础原理 Spring Boot是一款基于JAVA的开源框架,目的是为了简化Spring应用搭建和开发流程。是目前比较流行,大中小型企业常用的框架。正因为极大的简化了开发流程,才受到了绝大开发人员的喜爱。 0x01 Spring Boot 表达式 OGNL:Apache Commons Object-Gr
继续阅读漏洞预警 | Django拒绝服务和SQL注入漏洞
漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读漏洞预警 | 小米路由器任意文件读取漏洞
漏洞预警 | 小米路由器任意文件读取漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 小米路由器是小米公司推出的一款智能路由器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 小米路由器的/api-third-party/download/extdisks
继续阅读苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞
苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞 很近也很远 网络研究观 2024-12-12 15:59 在安全研究人员 Talal Haj Bakry 和 Mysk Inc. 的 Tommy Mysk 报告之后,Apple 在发布 iOS 18.2 时解决了其密码应用程序中的一个重要安全漏洞。 该漏洞被追踪为 CVE-2024-54492,涉及应用程序使用未加密的 HTTP 连接
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播
单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播 FreeBuf知识大陆 FreeBuf 2024-12-12 10:54 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测
创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274)
【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞
漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-42448 CVE-2024-42449 0x01 危险等级 – 高危 0x02 漏洞概述 Veeam Service Provider Console是Veeam Software
继续阅读漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞
漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-8785 0x01 危险等级 – 高危 0x02 漏洞概述 WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞
【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读雷神众测漏洞周报2024.12.02-2024.12.08
雷神众测漏洞周报2024.12.02-2024.12.08 原创 雷神众测 雷神众测 2024-12-11 07:20 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读edu小程序挖掘严重支付逻辑漏洞
edu小程序挖掘严重支付逻辑漏洞 扫地僧的茶饭日常 2024-12-11 01:30 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 声明:本文所有漏洞已提交修复了 一、敏感信息泄露 来到某学校电费充值公众号 img 打开购电小程序 img 这里需要输入姓名和学号,直接搜索引
继续阅读(未公开)灵当CRM某接口存在文件读取漏洞
(未公开)灵当CRM某接口存在文件读取漏洞 原创 WebSec WebSec 2024-12-10 12:21 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞
「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-10 12:13 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁
从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险
网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读TimelineSec助力2024漏洞马拉松活动,史无前例反爬专项单个奖励最高5w!
TimelineSec助力2024漏洞马拉松活动,史无前例反爬专项单个奖励最高5w! JDSRC Timeline Sec 2024-12-09 10:03 漏洞马拉松 –活动来袭– 01 活动时间 JSRC活动时间:12.9~12.23 02 提交地址 https://security.jd.com/ 03 马拉松高危奖 活动范围:京东全业务 提交格式:漏洞标题请添加【2
继续阅读数据安全新动态(2024年11月)
数据安全新动态(2024年11月) 河南省工信安联盟 安全牛科技 2024-12-09 09:30 1、国内外数据安全政策动态 1.1.国内数据安全政策动态 1.1.1.国家数据局向社会公开征求《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的意见 为贯彻党的二十届三中全会精神,落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,促进数据要素合规高效流通使用
继续阅读