如何快速挖掘漏洞
如何快速挖掘漏洞 迪哥讲事 2024-05-22 21:13 前言: 闲来有空,落个笔,本来是想每个漏洞都分开写专题的,凑文章数量。 但是想来想去,对于如果是常规的漏洞的话,其实挖来挖去核心逻辑其实都是那些东西,所以对相关的文章又进行了一个删除。 这里写一篇文章,当然也可以说是一篇关于笔者使用相关工具介绍的文章,捡过很多漏洞。 正文: 在笔者看来,其实针对一个网站做渗透测试也好,针对一套代码做代码
继续阅读标签: 敏感信息
雷神众测漏洞周报2024.05.13-2024.05.19
雷神众测漏洞周报2024.05.13-2024.05.19 原创 雷神众测 雷神众测 2024-05-22 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Fluent Bit高危漏洞威胁全球云计算大厂
Fluent Bit高危漏洞威胁全球云计算大厂 关键基础设施安全应急响应中心 2024-05-22 14:54 Fluent Bit是一个极为流行的开源多平台日志处理器工具,近日曝出高危漏洞,波及全球几乎所有主流云服务商和众多科技巨头。 Fluent Bit不仅兼容Windows、Linux和macOS系统,还嵌入在各大主流Kubernetes发行版中,其中就包括亚马逊AWS、谷歌GCP和微软Az
继续阅读Fluent Bit 严重漏洞影响所有主流云提供商
Fluent Bit 严重漏洞影响所有主流云提供商 SERGIU GATLAN 代码卫士 2024-05-21 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fluent Bit 中存在一个严重漏洞,可被用于拒绝服务和远程代码执行攻击中,影响所有主流云提供商和很多技术巨头。 Fluent Bit 是一款极其热门的日志和度量解决方案,适用于主流Kubernetes 发行版本内嵌的
继续阅读上周关注度较高的产品安全漏洞(20240513-20240519)
上周关注度较高的产品安全漏洞(20240513-20240519) 国家互联网应急中心CNCERT 2024-05-21 14:08 一、境外厂商产品漏洞 1、 Apache James MIME4J输入验证错误漏洞 Apache James MIME4J 是美国阿帕奇( Apache )基金会的一个库。可用于解析纯 rfc822 和 MIME 格式的电子邮件消息流,并构建电子邮件消息的树表示。
继续阅读Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561
Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561 南风徐来 南风漏洞复现文库 2024-05-20 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读记某src通过越权拿下高危漏洞
记某src通过越权拿下高危漏洞 小*咔 Z2O安全攻防 2024-05-20 20:35 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞
安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞 奇安信 CERT 2024-05-20 19:42 安全资讯导视 • 国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据 • 因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露 • 美国CISA等多国机构发布公民社会网络安全指南 PART01 漏洞情报 1.Google Chrome V8类型
继续阅读脆弱的Tesla汽车!第三方软件的漏洞可致汽车被黑客操控
脆弱的Tesla汽车!第三方软件的漏洞可致汽车被黑客操控 网络安全应急技术国家工程中心 2024-05-20 15:32 得克萨斯大学达拉斯分校(UT Dallas)网络安全专业硕士研究生Harish SG,同时也是一名活跃的安全研究人员,发现TeslaLogger(用于从Tesla车辆收集数据的第三方软件)中存在一个漏洞,该漏洞表现为明文存储的登录凭据和不安全的默认设置,可被利用来获得对Tesl
继续阅读【0day漏洞复现】北京慧飒科技有限责任公司WEB VIDEO PLATFORM存在未授权访问漏洞
【0day漏洞复现】北京慧飒科技有限责任公司WEB VIDEO PLATFORM存在未授权访问漏洞 原创 猴子 花果山讲安全 2024-05-19 15:32 0x01 阅读须知 花果山的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读【高危漏洞】亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞
【高危漏洞】亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 皓月当空w 2024-05-19 12:20 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 漏洞出现时间:2024年5月19日 影响等级:高危 漏洞说明: 北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏
继续阅读某一次PDF-XSS漏洞挖掘(安服系列)
某一次PDF-XSS漏洞挖掘(安服系列) 原创 漏洞谷 漏洞谷 2024-05-18 11:35 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.漏洞名称 PDF-XSS 二.风险级别 自评:中危 三.漏洞描述 PDF-XS
继续阅读记一次某双一流大学漏洞挖掘
记一次某双一流大学漏洞挖掘 黑白之道 2024-05-18 08:43 文章作者:先知社区(七*r) 文章来源:https://xz.aliyun.com/t/14456 1► 前言 本次项目测试的平台是某方开发的某某服务平台,算是个小0day或者说是1day吧,总之尚未公开且资产较少,因此记录一下。 2► 信息收集 识别链接发现是某方的xx服务平台 端口扫描仅开放80、443 无奈,只能搜一搜有
继续阅读漏洞预警 | 联软安全数据交换系统任意文件读取漏洞
漏洞预警 | 联软安全数据交换系统任意文件读取漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 联软安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞
漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读漏洞预警 | User Meta敏感信息泄露漏洞
漏洞预警 | User Meta敏感信息泄露漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # CVE-2024-33575 0x01 危险等级 – 中危 0x02 漏洞概述 User Meta是一款WordPress前端注册登录与编辑资料插件,允许用户在前端页面进行注册、登录以及编辑个人资料的操作。这款插件还支持额外字段的用户注册,增加了用
继续阅读CVE-2024-25641|Cacti 存在多个安全漏洞
CVE-2024-25641|Cacti 存在多个安全漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti是通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。 0x01 漏洞描述 CVE-2024-256
继续阅读CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC)
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞
CVE-2024-4367|Mozilla PDF.js代码执行漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区驱动的,并由 Mozilla 支持。我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞
【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848)
【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告 奇安信 CERT 2024-05-16 15:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8类型混淆漏洞 漏洞编号 QVD-2024-18433,CVE-2024-4947 公开时间 2024-05-15 影响量级 千万
继续阅读VMware 修复Workstation 和 Fusion 产品中的多个漏洞
VMware 修复Workstation 和 Fusion 产品中的多个漏洞 THN 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware Workstation 和 Fusion 产品中存在多个漏洞,可被威胁行动者用于访问敏感信息、触发拒绝服务条件并在某些条件下执行代码。 这四个漏洞影响 Workstation 17.x 和 Fusion
继续阅读谷歌紧急修复周内第3个已遭利用的0day
谷歌紧急修复周内第3个已遭利用的0day Sergiu Gatlan 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。 谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Ma
继续阅读漏洞挖掘|一次在线商城漏洞挖掘
漏洞挖掘|一次在线商城漏洞挖掘 迪哥讲事 2024-05-15 20:30 点击下方名片即可关注,只更高质量文章**** 0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集(灯塔停止维护了、此处默哀2
继续阅读上周关注度较高的产品安全漏洞(20240429-20240512)
上周关注度较高的产品安全漏洞(20240429-20240512) CNVD漏洞平台 2024-05-13 17:16 一、境外厂商产品 漏洞 1、F5 BIG-IP Next Central Manager中间人攻击漏洞(CNVD-2024-22213) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Cen
继续阅读漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞
漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞 原创 lalone 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 瑞
继续阅读漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞
漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞 浅安 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # CVE-2024-4257 0x01 危险等级 – 高危 0x02 漏洞概述 蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。 0x03 漏洞详情 CVE-2024-
继续阅读H3C两个漏洞的划水
H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读钓鱼佬永不空军!!看我如何社g搞定学姐继而接管站点全部权限,“严重”漏洞横空出世
钓鱼佬永不空军!!看我如何社g搞定学姐继而接管站点全部权限,“严重”漏洞横空出世 原创 xjizhi GG安全 2024-05-12 15:08 现在只对常读和星标的公众号才展示大图推送,建议大家能把 GG安全 “设为星标”,否则可能就看不到了啦! 免责声明 本文章仅 用于分享信息安全防御技术,请遵守中华人民共和国相关 法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责
继续阅读