某视讯平台存在敏感目录文件泄露漏洞
某视讯平台存在敏感目录文件泄露漏洞 原创 儒道易行 儒道易行 2024-09-05 20:00 不乱于心,不困于情。不念过往,不畏将来。如此,安好。 漏洞描述 某视讯平台某个文件 list参数 存在目录文件泄露漏洞,攻击者通过漏洞可以获取一些敏感信息 漏洞实战 访问漏洞url: 漏洞证明: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造
继续阅读标签: 敏感信息
sign加密小程序漏洞挖掘
sign加密小程序漏洞挖掘 eeknight 迪哥讲事 2024-09-03 22:00 公众号:安全客资讯平台(ID:anquanbobao)作者:(eeknight) 前言 通过本篇论文,你可以了解两个知识点: 1. sign加密解密 小程序漏洞挖掘 漏洞发现 注册的时候点击一个获取手机号 这里通过burp可以看到微信小程序获取手机号的三个关键参数,decryptData,sessionKey
继续阅读【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告
【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告 奇安信 CERT 2024-09-03 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Jenkins Remoting 任意文件读取漏洞 漏洞编号 QVD-2024-35669,CVE-2024-43044 公开时间 2024-08-07 影响量级 万级 奇安
继续阅读上周关注度较高的产品安全漏洞(20240826-20240901)
上周关注度较高的产品安全漏洞(20240826-20240901) 国家互联网应急中心CNCERT 2024-09-03 15:27 一、境外厂商产品漏洞 1、 Mozilla Firefox拒绝服务漏洞(CNVD-2024-36732)**** Mozilla Firefox 是美国 Mozilla 基金会的一款开源 Web 浏览器。 Mozilla Firefox 存在拒绝服务漏洞,该漏洞源于
继续阅读【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】
【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】 原创 阿诺 苏诺木安全团队 2024-09-02 19:46 免责声明:本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,若利用本文提供的内容或工具造成任何直接或间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。 fofa title="短视频矩阵营销系统&q
继续阅读红队武器库漏洞利用工具合集 – VulToolsKit
红队武器库漏洞利用工具合集 – VulToolsKit GSDK安全团队 2024-09-02 19:35 01 项目地址 https://github.com/onewinner/VulToolsKit 02 项目介绍 红队武器库漏洞利用工具合集整理 海康威视Hikvision综合漏洞利用工具 大华Dahua综合漏洞利用工具 Nacos综合漏洞利用工具 Vcenter综合漏洞利用工具
继续阅读MSI 文件漏洞的探索
MSI 文件漏洞的探索 Ti TIPFactory情报工厂 2024-09-02 19:12 我们经常遇到 MSI 文件。开发者使用它们来提供和打包自己的程序。此格式比标准 EXE 格式更方便,原因如下: – 能够恢复、安装某些组件 数据存储在结构化的表中,可以通过 API 轻松访问 通过 SCCM、WEB 端点轻松分发 MSI 文件内部可能存在各种漏洞,大部分漏洞都会导致权限提升,既
继续阅读一个$1600赏金奖励的漏洞
一个$1600赏金奖励的漏洞 迪哥讲事 2024-09-01 22:23 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行分类,在这个过程中
继续阅读CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC
CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC 原创 合规渗透 合规渗透 2024-09-01 20:11 CVE-2024-21413 是影响 Microsoft Outlook 的关键远程代码执行 (RCE) 漏洞。 这个零日漏洞也称为“MonikerLink”错误,允许攻击者在受害者的机器上执行任意代码,而无需任何用户交互。 该漏洞是由恶意制作的电
继续阅读漏洞预警 | 同鑫T9eHR信息化管理系统SQL注入漏洞
漏洞预警 | 同鑫T9eHR信息化管理系统SQL注入漏洞 浅安 浅安安全 2024-09-01 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 同鑫T9eHR信息化管理系统是一款专为解决企业人力资源管理痛点而设计的全面解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 同鑫T9eHR信息化管理
继续阅读【漏洞通告】某海云eHR系统pc.mob接口SQL注入漏洞
【漏洞通告】某海云eHR系统pc.mob接口SQL注入漏洞 原创 常行安服团队 常行科技 2024-08-30 21:20 某海 eHR 系统,聚焦人力资源管理痛点,打破传统 eHR 系统各功能模块数据割裂局限,为企业打造数据一体化、流程一体化、终端一体化的智能互联人力资源管理解决方案,构建业务闭环流畅、全局数据贯通、系统高度集成、权限规范可控的一站式人力资源管理数字化平台。 漏洞概述 漏洞名称
继续阅读一款强大的自动化漏洞发现与验证工具 | 抽奖送《黑神话悟空》
一款强大的自动化漏洞发现与验证工具 | 抽奖送《黑神话悟空》 老谢 H4ll0 H4ck3r 2024-08-27 21:35 声明: 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,H4ll0 H4ck3r及文章作者不为此承担任何责任。 H4ll0 H4ck3r拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读Microsoft 修复了导致 Microsoft 365 Copilot 数据被盗的 ASCII 走私漏洞
Microsoft 修复了导致 Microsoft 365 Copilot 数据被盗的 ASCII 走私漏洞 信息安全大事件 2024-08-27 20:23 有关 Microsoft 365 Copilot 中现已修补的漏洞的详细信息已经出现,该漏洞可能使用一种称为 ASCII 走私的技术来窃取敏感的用户信息。 “ASCII 走私是一种新技术,它使用特殊的 Unicode 字符来镜像 ASCII
继续阅读审计发现FBI的数据存储管理存在重大漏洞
审计发现FBI的数据存储管理存在重大漏洞 关键基础设施安全应急响应中心 2024-08-27 15:37 据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在「重大漏洞」。 OIG 的审计显示,FBI 对包含敏感但未分类 (SBU) 、存储机密国家安全信息 (NSI) 的电子介质库存管理存在三大主要问
继续阅读雷神众测漏洞周报2024.08.19-2024.08.25
雷神众测漏洞周报2024.08.19-2024.08.25 原创 雷神众测 雷神众测 2024-08-27 15:37 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240819-20240825)
上周关注度较高的产品安全漏洞(20240819-20240825) 国家互联网应急中心CNCERT 2024-08-27 14:41 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2024-36096)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用
继续阅读安全热点周报:本周新增两个在野利用漏洞,其中 Jenkins 被用于勒索软件活动
安全热点周报:本周新增两个在野利用漏洞,其中 Jenkins 被用于勒索软件活动 奇安信 CERT 2024-08-26 19:15 安全资讯导视 • 强制性国家标准《汽车整车信息安全技术要求》正式发布 • 九国网络安全机构联合发布《事件日志记录和威胁检测最佳实践指南》 • 国内某上市公司疑遭勒索攻击泄漏2.3TB数据 PART01 漏洞情报 1.Google Chrome V8类型混淆漏洞安全
继续阅读CVE-2024-38063|Windows TCP/IP远程代码执行漏洞
CVE-2024-38063|Windows TCP/IP远程代码执行漏洞 alicy 信安百科 2024-08-25 18:00 0x00 前言 TCP/IP(传输控制协议/互联网协议)是一种核心的网络通信协议,它对于设备之间的网络通信至关重要。如果网络适配器没有启用TCP/IP服务,将无法正常连接到网络。 0x01 漏洞描述 CVE-2024-38063技术原理主要涉及整数下溢和缓冲区溢出。
继续阅读漏洞挖掘 | 记一次Spring横向渗透
漏洞挖掘 | 记一次Spring横向渗透 原创 zkaq-Tobisec 掌控安全EDU 2024-08-25 12:00 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这篇文章给师傅们分享下,前段时间的一个渗透测试的一个项目,开始也是先通过各种的手段
继续阅读用友畅捷通CRM newleadset SQL 注入漏洞
用友畅捷通CRM newleadset SQL 注入漏洞 原创 7coinSec 7coinSec 2024-08-24 21:54 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规。 如有侵权,请在本公众号后台
继续阅读漏洞预警 | AJ-Report权限绕过漏洞
漏洞预警 | AJ-Report权限绕过漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。 0x03 漏洞详情 漏洞类型: 权限绕过 影响: 获取敏感信息 简述: AJ-Report
继续阅读edu漏洞平台挖掘-7月总结
edu漏洞平台挖掘-7月总结 原创 湘南第一深情 湘安无事 2024-08-23 23:46 声明 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。记得点点关注哦!谢谢! 免费送edu邀请码。 上个月成果展示 7月的湘安
继续阅读【8/23特辑】今日热点漏洞,你排查了没?
【8/23特辑】今日热点漏洞,你排查了没? 安恒研究院 安恒信息CERT 2024-08-23 18:06 漏洞导览 · 赛蓝企业管理系统存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 东胜物流软件存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 汇智企业资源管理系统存在文件上传漏洞 漏洞概况 在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理
继续阅读错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞
错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 安信安全 安信安全 2024-08-23 17:01 新闻速览 •《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求 •麻省理工首发AI风险管理数据库,全面覆盖777种风险 •英国企业网络威胁态势调查:每44秒就会面临一次新的网络攻击 •错误展
继续阅读【漏洞预警】泛微网络E-cology BlogService 未授权SQL注入漏洞
【漏洞预警】泛微网络E-cology BlogService 未授权SQL注入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到泛微网络E-cology存在一个SQL注入漏洞,未经过身份验证的攻击者可以通过该漏洞获取数据库敏感信息。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:官方补丁下载链接: https://www.weaver.com.cn/
继续阅读攻防过半:最能打的竟然不是0day?
攻防过半:最能打的竟然不是0day? 原创 ThreatBook 微步在线 2024-08-22 20:04 攻防大战过半,赛博世界虽未火力全开,但依旧波诡云谲,充满刀光剑影。话不多 说,来看看过去一个月,有哪些新的攻击手段和趋势: 攻击木马 CS超90%,Linux新型特马增加 微步云沙箱S首月捕获CobaltStrike样本 6000+,红队工具样本1500+。 攻击木马仍以CobaltStr
继续阅读车载可用摄像头漏洞研究
车载可用摄像头漏洞研究 谈思实验室 2024-08-22 18:07 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 硬件探索 由于没有外壳与系统进行交互,也没有明文固件可供分析,我们不得不借助内存转储来进行任何工作。该型号内部由 2 块 PCB 组成,有屏蔽罩隐藏芯片组。拆除后,可以识别芯片组制造商和型号。SoC 是赛普拉斯(现为英飞凌)CYW43012,辅以 OA00804-B56G
继续阅读谷歌紧急修复今年第9个已遭利用0day
谷歌紧急修复今年第9个已遭利用0day Sergiu Gatlan 代码卫士 2024-08-22 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布Chrome 紧急更新,修复了一个已遭利用的0day漏洞 (CVE-2024-7971)。 该漏洞是一个高危0day漏洞,由 Chrome V8 JavaScript 引擎中的一个类型混淆弱点引发。微软威胁情报中心和微软安全响
继续阅读【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-7971)安全风险通告
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-7971)安全风险通告 奇安信 CERT 2024-08-22 17:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8 类型混淆漏洞 漏洞编号 QVD-2024-37591,CVE-2024-7971 公开时间 2024-08-21 影响量级 千万级 奇安信评级
继续阅读