Android Deep Link 问题和 WebView 漏洞利用
Android Deep Link 问题和 WebView 漏洞利用 8ksec Ots安全 2024-05-12 12:10 在过去的几年里,Android 智能手机已经变得无处不在。我们有数百万用户依靠这些设备进行商务和个人通信、娱乐和工作。随着 Android 智能手机使用量的增加,应用程序中的安全漏洞数量大幅增加,这些漏洞可能使用户的个人数据面临风险。 Android 深度链接和 Andr
继续阅读标签: 敏感信息
谷歌修复今年第五个 Chrome 0day漏洞
谷歌修复今年第五个 Chrome 0day漏洞 Bill Toulas 代码卫士 2024-05-11 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。 该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究
继续阅读1day Symfony 敏感信息泄露
1day Symfony 敏感信息泄露 Khan安全团队 2024-05-11 00:24 /app_dev.php/_profiler/open?file=app/config/parameters.yml
继续阅读【漏洞通告】Google Chrome 零日漏洞在野外被利用(CVE-2024-4671)
【漏洞通告】Google Chrome 零日漏洞在野外被利用(CVE-2024-4671) GuardCyberSec 信息安全ISecurity 2024-05-11 00:00 点击上方蓝字·关注我们 漏洞概述 据报道在 Google Chrome 中发现一个漏洞,该漏洞可能允许任意代码执行。谷歌为其流行的Chrome 网络浏览器发布了紧急更新。此更新修复了恶意攻击者正在积极利用的关键零日漏洞
继续阅读【在野利用】Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)安全风险通告
【在野利用】Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)安全风险通告 奇安信 CERT 2024-05-10 15:35 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome Visuals 释放后重用漏洞 漏洞编号 QVD-2024-17414,CVE-2024-4671 公开时间 2024-05-09 影响量
继续阅读多个三星移动设备漏洞可让攻击者执行任意代码
多个三星移动设备漏洞可让攻击者执行任意代码 网络安全应急技术国家工程中心 2024-05-10 14:59 在最新网络安全更新中,三星宣布修补了其移动设备中的 25 个漏洞,旨在增强其抵御潜在的代码执行和权限升级攻击的能力。 这是三星持续增强智能手机和平板电脑安全性的一部分举措,以此确保用户的安全和隐私。 这些漏洞被确定为三星漏洞和暴露(SVE)项目。这些缺陷涉及三星设备的各个组件,包括操作系统、
继续阅读16项网络安全国家标准获批发布;CISA启动新的漏洞管理增强计划 | 牛览
16项网络安全国家标准获批发布;CISA启动新的漏洞管理增强计划 | 牛览 安全牛 2024-05-10 14:28 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ16项网络安全国家标准获批发布 ㆍ我国首份自贸区数据出境管理负面清单发布 ㆍ CISA启动新的漏洞管理增强计划 ㆍ超3成的CISO对当前的薪酬不满 ㆍSentinelOne警告:勒索软件规避端点检测的能力不断增强 ㆍISACA调查
继续阅读【漏洞通告】Apache ActiveMQ API 未授权访问漏洞CVE-2024-32114
【漏洞通告】Apache ActiveMQ API 未授权访问漏洞CVE-2024-32114 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-08 18:00 漏洞名称: Apache ActiveMQ API 未授权访问漏洞 (CVE-2024-32114) 组件名称: Apache-ActiveMQ 影响范围: 6.0.0 ≤ Apache ActiveMQ < 6.1.2
继续阅读多个 CVE-2024 CData 路径遍历
多个 CVE-2024 CData 路径遍历 TtTeam 2024-05-08 00:13 Tenable 的研究人员发现了一个路径遍历漏洞,在使用嵌入式 Jetty 服务器部署时,会影响多个 CData 产品的 Java 版本,每个产品的影响各不相同。该问题的存在是由于嵌入式 Jetty 服务器和 CData servlet 处理请求的方式相结合造成的。 技术细节 由于以下条件,可以利用路径遍
继续阅读LLM 渗透测试:利用代理集成进行 RCE
LLM 渗透测试:利用代理集成进行 RCE Ots安全 2024-05-07 19:57 这篇博文深入研究了称为“提示泄漏”的漏洞类别及其随后通过“提示注入”进行的利用,该漏洞在 LLM 渗透测试期间允许通过 Python 代码注入未经授权地执行系统命令。 在详细的案例研究中,我们将探讨这些漏洞的机制、它们的影响以及利用它们的方法。 在讨论重要问题之前,了解法学硕士是什么及其整合功能的基础知识非常
继续阅读漏洞挖掘 | 使用HaE与CaA组合挖掘高危漏洞
漏洞挖掘 | 使用HaE与CaA组合挖掘高危漏洞 校长 不懂安全的校董 2024-05-07 19:32 0x01 前言 我发现我好久没发过赏金漏洞的挖掘了,今天特此来更新一篇HaE搭配CaA挖掘到高危漏洞的实战案例 这里不得不说一下HaE搭配CaA HaE: https://github.com/gh0stkey/HaE CaA: https://github.com/gh0stkey/CaA
继续阅读【安全圈】微软披露严重安全漏洞,受影响App安装量超40亿
【安全圈】微软披露严重安全漏洞,受影响App安装量超40亿 安全圈 2024-05-07 19:00 关键词 安全漏洞 近日,研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明,威胁攻击者可以利用该安全漏洞,执行任意代码以及盗取令牌。一旦成
继续阅读Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞
Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞 Jai Vijayan 代码卫士 2024-05-07 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Citrix 公司悄悄修复了位于 ADC 和 Gateway 设备中的一个漏洞,它可导致远程未认证攻击者从受影响系统的内存中获得潜在的敏感信息。 该漏洞与 CitrixBleed (CVE-2024-4
继续阅读微软披露严重安全漏洞,受影响App安装量超40亿
微软披露严重安全漏洞,受影响App安装量超40亿 小王斯基 FreeBuf 2024-05-06 19:01 左右滑动查看更多 近日,研究人员披露了一个名为「Dirty Stream」的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明,威胁攻击者可以利用该安全漏洞,执行任意代码以及盗取令牌
继续阅读如何使用resource-counter统计跨Amazon区域的不同类型资源数量
如何使用resource-counter统计跨Amazon区域的不同类型资源数量 Alpha_h4ck FreeBuf 2024-05-06 19:01 关于resource-counter resource-counter是一款功能强大的命令行工具,该工具基于纯Python 3开发,可以帮助广大研究人员跨Amazon区域统计不同类型资源的数量。 该工具在统计完不同区域的各类资源数量后,可以在命令
继续阅读谷歌安卓应用的RCE漏洞最高赏金45万美元
谷歌安卓应用的RCE漏洞最高赏金45万美元 Zeljka Zorz 代码卫士 2024-05-06 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌大幅增加了赏金猎人能通过从谷歌所开发和维护的安卓应用中找到漏洞能获得的赏金。 谷歌信息安全工程师 Kristoffer Blasiak 指出,“我们对某些类别内的赏金额最高增加到原来的10倍(如第一级别应用中的远程任意代码执行漏洞
继续阅读安全热点周报:本周新增两个在野利用漏洞,成功利用可导致供应链攻击
安全热点周报:本周新增两个在野利用漏洞,成功利用可导致供应链攻击 奇安信 CERT 2024-05-06 17:50 安全资讯导视 • 美国总统拜登签署《关于关键基础设施安全和弹性的国家安全备忘录》 • 两部门印发《数字经济2024年工作要点》 • 伦敦证交所客户核查数据库遭泄露,内含超520万条敏感个人信息 PART01 新增在野利用 1.GitLab密码重置漏洞(CVE-2023-7028)
继续阅读微软发现严重漏洞,涉超 40 亿下载安卓应用;iPhone 16 电池壳改用不锈钢;苹果「AI iPad」或明日曝光|极客早知道
微软发现严重漏洞,涉超 40 亿下载安卓应用;iPhone 16 电池壳改用不锈钢;苹果「AI iPad」或明日曝光|极客早知道 Moonshot 极客公园 2024-05-06 08:38 微软发现严重安全漏洞,影响数十亿下载量 Android 应用 5 月 5 日,据 AndroidAuthority 报道,微软近日披露了一个名为「Dirty Stream」的严重安全漏洞,该漏洞可能影响到数十
继续阅读一次收获颇丰的Google漏洞挖掘旅程
一次收获颇丰的Google漏洞挖掘旅程 FreddyLu666 FreeBuf 2024-05-03 09:30 本文由安全专家Henry N. Caga于2024年03月23日发表在InfoSecWrite-ups网站,本文记录了Henry N. Caga的一次漏洞挖掘过程,此次漏洞挖掘的成果得到了Google官方认可,拿到了4133.70美元的漏洞奖金,并让他成功进入了Google名人堂。本文
继续阅读CVE-2024-4040|CrushFTP 认证绕过模板注入漏洞(POC)
CVE-2024-4040|CrushFTP 认证绕过模板注入漏洞(POC) alicy 信安百科 2024-05-01 20:59 0x00 前言 CrushFTP是一款支持FTP,FTPS,SFTP,HTTP,HTTPS,WebDAV,WebDAV SSL等协议的跨平台FTP服务器软件。 同时提供一个WEB接口让用户可以使用浏览器来管理他们的文件。 0x01 漏洞描述 ****> 未经身
继续阅读N/A|Jeecg commonController 文件上传漏洞(POC)
N/A|Jeecg commonController 文件上传漏洞(POC) alicy 信安百科 2024-05-01 20:59 0x00 前言 JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成
继续阅读N/A|禅道项目管理系统身份认证绕过漏洞(POC)
N/A|禅道项目管理系统身份认证绕过漏洞(POC) alicy 信安百科 2024-05-01 20:59 0x00 前言 禅道是由青岛易软天创网络科技有限公司开发的开源项目管理软件,基于敏捷和CMMI管理理念进行设计,集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,完整覆盖研发项目管理的核心流程。 0x01 漏洞描述 ****> 禅道项目管理系统存在身份认证绕过漏洞,远
继续阅读任意文件读取&下载漏洞的全面解析及利用
任意文件读取&下载漏洞的全面解析及利用 小铭 白帽子左一 2024-05-01 12:01 扫码领资料 获网安教程 在实战中,我们不仅需要关注如何进行发现漏洞,也需要反思如何对发现的漏洞进行最大化利用! 文章来源: https://forum.butian.net/share/2664 文章作者:小铭 如有侵权请您联系我们,我们会进行删除并致歉 前言 本人在近期实战时也是挖到了任意文件下载
继续阅读如何利用关键 Ray 框架漏洞来入侵全球 AI 机器?
如何利用关键 Ray 框架漏洞来入侵全球 AI 机器? cybernews OSINT研习社 2024-05-01 09:00 自 2023 年 9 月 5 日以来,一种名为“ShadowRay”活动的复杂网络威胁针对 Ray 框架中的漏洞。 该活动凸显了 Ray 框架中的一个严重漏洞,该框架由 Anyscale 开发,并被 Amazon 和OpenAI 等巨头使用 ,用于协调教育、加密货币和生物
继续阅读漏洞预警 | 若依druid未授权访问漏洞
漏洞预警 | 若依druid未授权访问漏洞 浅安 浅安安全 2024-05-01 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 若依框架是一款基于Spring Boot、Spring Cloud、OAuth2与JWT鉴权等核心技术的快速开发平台。它支持多种安全框架和持久化框架,并采用前后端分离的模式进行开发,具备高度的灵活性
继续阅读一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测
一款未授权/敏感信息/敏感关键词/接口JS文件指纹特征识别插件|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-05-01 00:01 0x01 工具介绍 攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该Burp插件我们可以: 1 、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证
继续阅读【漏洞预警】 јizhiсmѕ v.2.5.4跨站脚本漏洞(CVE-2024-33338)
【漏洞预警】 јizhiсmѕ v.2.5.4跨站脚本漏洞(CVE-2024-33338) cexlife 飓风网络安全 2024-04-30 22:58 漏洞描述: јizhiсmѕ v.2.5.4中的跨站脚本漏洞允许远程攻击者通过精心设计的文章发布请求获取敏感信息。 修复方法: 目前官方已有可更新版本,建议受影响用户升级至最新版本
继续阅读【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】
【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】 原创 xiaocaiji 网安鲲为帝 2024-04-30 19:43 0x00免责声明 ! 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。 0x01 漏洞描述 ! 随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户
继续阅读上周关注度较高的产品安全漏洞(20240422-20240428)
上周关注度较高的产品安全漏洞(20240422-20240428) 国家互联网应急中心CNCERT 2024-04-30 09:25 一、境外厂商产品漏洞 1、Linux Kernel存在拒绝服务漏洞(CNVD-2024-17902) Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel存在拒绝服务漏洞,攻击者可利用该漏洞进行拒绝服务攻击。
继续阅读03-Git信息泄露及其漏洞利用
03-Git信息泄露及其漏洞利用 原创 simeon的文章 小兵搞安全 2024-04-29 06:37 1.1 Git信息泄露及其漏洞利用 Git是由林纳斯·托瓦兹(Linus Torvalds)命名的,它来自英国俚语,意思是“混账”,Git是一个分布式版本控制软件,最初由林纳斯·托瓦兹(Linus Torvalds)创作,于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计
继续阅读