X漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成!
X漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成! X 微步在线研究响应中心 2024-11-20 02:01 奖励计划 活动时间 2024/11/20-2024/12/31 奖励计划 活动亮点 0day收录范围扩大,不再受限于往期活动范围。 非0day开放收录,且新增以下两类收录: 新增收录二进制非0day收录:收录范围包括Windows、Linux、Chrome; 新增收录公开时间在
继续阅读标签: 暴力破解
从302到RCE,拿shell就像喝水一样简单
从302到RCE,拿shell就像喝水一样简单 迪哥讲事 2024-11-18 21:56 免责声明 :请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 从前两天《从404到RCE 》的文章反馈来看,大家很喜欢看这个系列嘛(还没看过的铁汁
继续阅读攻防演练 | 一次近源渗透
攻防演练 | 一次近源渗透 原创 zkaq -Alan 掌控安全EDU 2024-11-16 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – zkaq -Alan 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1.XX博物馆 因为这次比赛有近源攻击,刚好资产上面有这个博物馆,因为信息太少没被打穿,就打车去近源攻击碰
继续阅读用友漏洞一键探测利用
用友漏洞一键探测利用 信安404 2024-11-15 23:53 点击上方 蓝字关注我们 免责声明 ❝ 本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。 介绍 用友漏洞一键探测利用。 项目地址;https://github.com/Chave0v0/YONYOU-TOOL 有release 开源 支持漏洞 ActionHandlerServlet 反
继续阅读2023年最易被利用的漏洞
2023年最易被利用的漏洞 何威风 河南等级保护测评 2024-11-15 16:00 根据五眼情报联盟政府机构的数据,2023年最常被利用的漏洞大多最初都是以零日漏洞的形式被利用的。 一份汇总数据 的 咨询报告显示 ,与上一年相比 ,2023年利用零日漏洞攻击企业网络的情况显著增加。上一年,被利用的顶级漏洞中只有不到一半是以零日漏洞的形式被发现的。 数据显示,威胁行为者在漏洞公开披露后的两年内继
继续阅读【SRC】未授权访问漏洞引发的惨案…….
【SRC】未授权访问漏洞引发的惨案……. 朱厌安全 2024-11-14 17:50 喜欢就关注我吧! 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 1前言 本文记录了最近的一次src漏洞挖掘,并成功
继续阅读利用现代二进制中的盲格式字符串漏洞:来自 2024 年 Pwn2Own 爱尔兰的案例研究
利用现代二进制中的盲格式字符串漏洞:来自 2024 年 Pwn2Own 爱尔兰的案例研究 Baptiste MOINE securitainment 2024-11-09 11:52 Exploiting a Blind Format String Vulnerability in Modern Binaries A Case Study from Pwn2Own Ireland 2024 在 2
继续阅读简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell
简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell LemonSec 2024-11-09 09:13 1► 工具介绍 简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell
继续阅读Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络
Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络 胡金鱼 嘶吼专业版 2024-11-08 14:01 最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(编号为 CVE-2024-38094)正被用来获取对企业网络的初始访问权限。 CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Mi
继续阅读Nacos从快速发现到漏洞利用,没想到如此简单?
Nacos从快速发现到漏洞利用,没想到如此简单? 原创 小白 鹏组安全 2024-11-07 22:56 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! nacos查找方法 1、fofa语法类的搜索引擎 app="NACOS" port="8848" 2、如果没有明显特征,那就通过被动扫描器 ,如: burp的插件TsojanScan( http
继续阅读新闻 | 谷歌大模型挖到0day
新闻 | 谷歌大模型挖到0day 原创 4° 励行安全 2024-11-05 20:30 谷歌的 Big Sleep AI 在 SQLite 开源数据库引擎中发现了一个零日漏洞。 发现该漏洞的“Big Sleep”AI模型属Google Project Zero 和 Google DeepMind 之间的合作项目,旨在大型语言模型的辅助下进行漏洞研究。 在“Big Sleep”中,研究人员利用 L
继续阅读【安全圈】微软SharePoint RCE漏洞,安装火绒杀毒后导致安全防护崩溃
【安全圈】微软SharePoint RCE漏洞,安装火绒杀毒后导致安全防护崩溃 安全圈 2024-11-05 19:00 关键词 安全漏洞 据媒体报道,微软SharePoint存在远程代码执行(RCE)漏洞,漏洞编号CVE-2024-38094(CVSS评分:7.2) ,并且正在被黑客利用,以此获取对企业系统的初始访问权限。 微软SharePoint是一个流行的协作平台,与微软365无缝集成 ,允
继续阅读LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险
LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险 FreeBuf 商密君 2024-11-03 18:41 WordPress 一款流行插件LiteSpeed Cache 的免费版本最近修复了一个高危的权限提升缺陷,该漏洞可能允许未经身份验证的网站访问者获得管理员权限。 LiteSpeed Cache 是一个缓存插件,被超过 600 万个 WordPress 网站使用,有助于
继续阅读【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险
【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险 安全圈 2024-11-01 19:01 关键词 安全漏洞 WordPress 一款流行插件LiteSpeed Cache 的免费版本最近修复了一个高危的权限提升缺陷,该漏洞可能允许未经身份验证的网站访问者获得管理员权限。 LiteSpeed Cache 是一个缓存插件,被超过 600 万个 WordPress 网站
继续阅读自动化漏洞检测平台-解放劳动力
自动化漏洞检测平台-解放劳动力 夜安团队SEC 丁永博的成长日记 2024-10-31 23:40 本文章来源微信公众号夜安团队SEC github地址: https://github.com/Soufaker/laoyue 其他下载方式: 通过百度网盘分享的文件:laoyue-main.rar 链接:https://pan.baidu.com/s/1lIg1uLtPy4M1CVwP7jVDSg
继续阅读【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势
【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势 Z2O安全攻防 2024-10-28 20:58 0x1 前言 浅谈 这篇文章主要是想跟师傅们聊下企业src包括平常的渗透测试和众测等项目中的一个拿分点,特别是如何让新手在挖掘企业src的过程中可以挖到漏洞呢,难点的或者好挖的漏洞都被大佬给交走了,那么小白挖src的方向在哪呢,还有冷门的漏洞挖掘方式怎么样,是不是可以挖掘到漏洞呢。 这篇文章也是和
继续阅读多款云存储平台存在安全漏洞,影响超2200万用户
多款云存储平台存在安全漏洞,影响超2200万用户 老布 FreeBuf 2024-10-26 09:30 据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服
继续阅读【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户
【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户 安全圈 2024-10-22 19:01 关键词 数据安全 据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tr
继续阅读[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析 原创 Eastmount 娜璋AI安全之家 2024-10-16 09:29 2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持5个月每周7更。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每
继续阅读漏洞挖掘 | 某平台存储型XSS
漏洞挖掘 | 某平台存储型XSS 原创 zkaq-嘉名 掌控安全EDU 2024-10-07 14:01 扫码领资料 获网安教程 本文由掌控安全学院 – 嘉名 投稿 一、信息收集 从来就没有弱口令成功登陆过网站,就想着找找看有没有暴露初始密码的学校网站谷歌语法搜索site:*.edu.cn intext:默认密码找到一个暴露默认密码的学校网站 进入该学校的教材征订系统,需要用学号登录
继续阅读【Nacos】漏洞利用Poc整理
【Nacos】漏洞利用Poc整理 哈拉少安全小队 2024-10-05 09:54 弱口令 默认账号密码都是nacos 未授权访问 auth 产生原因,配置文件nacos.core.auth.enabled = false 查看用户:http://xxx/nacos/v1/auth/users?pageNo=1&pageSize=1 添加用户: POST /nacos/v1/auth/us
继续阅读1_【漏洞预警】GNU Linux打印服务多个安全漏洞导致远程代码执行
1_【漏洞预警】GNU Linux打印服务多个安全漏洞导致远程代码执行 cexlife 安小圈 2024-09-28 08:45 安小圈 第513期 漏洞预警 Linux 安全漏洞 漏洞描述: Simone Margaritelli 发布相关安全公告影响几乎所有Linux发行版的 CVSS 9.9 GNU/Linux未经身份验证的远程代码执行漏洞。 2024年9月26日,这些漏洞的相关细节被公开
继续阅读高危漏洞:思科修补 IOS 软件中的高危漏洞
高危漏洞:思科修补 IOS 软件中的高危漏洞 原创 何威风 祺印说信安 2024-09-28 00:00 2024年全球50家最佳网络安全公司 2024年15款最佳补丁管理工具 网络安全知识:网络安全中的EDR是什么? 一个技术交流群,非诚勿扰!谢绝卖课、病毒式加人入群! 入群链接 思科周三宣布在其半年度 IOS 和 IOS XE 安全公告包发布中修复了 11 个漏洞,其中包括 7 个高严重性漏洞
继续阅读你的接口漏洞该补上了……
你的接口漏洞该补上了…… e安在线 e安在线 2024-09-26 09:49 你的接口漏洞 该补上了….. 益安在线 如果支付接口存在漏洞 就会给黑客提供可乘之机 假如因此被黑客攻击入侵 网络运营者同样需要承担责任然而,来宾网警在工作中发现 该市某医院对之前公安机关提出的 安全漏洞整改要求却“整而不改” 于是对这种不履行网络安全义务行为 给予行政处罚 案件回顾 2024年4月 在“两
继续阅读【安全圈】你的接口漏洞该补上了……
【安全圈】你的接口漏洞该补上了…… 安全圈 2024-09-25 19:02 关键词 安全漏洞 如果支付接口存在漏洞就会给黑客提供可乘之机假如因此被黑客攻击入侵网络运营者同样需要承担责任然而,来宾网警在工作中发现该市某医院对之前公安机关提出的安全漏洞整改要求却“整而不改”于是对这种不履行网络安全义务行为给予行政处罚 案件回顾 2024年4月在“两高一弱”网络安全隐患排查工作中来宾网警发现本地某医院
继续阅读ScopeSentry-资产测绘、信息收集、漏洞扫描工具
ScopeSentry-资产测绘、信息收集、漏洞扫描工具 黑白之道 2024-09-21 08:57 网址 • 官网:https://www.scope-sentry.top • Github: https://github.com/Autumn-27/ScopeSentry • 扫描端源码:https://github.com/Autumn-27/ScopeSentry-Scan 介绍 Scop
继续阅读WPS的漏洞原理解析【黑客渗透测试零基础入门必知必会】
WPS的漏洞原理解析【黑客渗透测试零基础入门必知必会】 龙哥 龙哥网络安全 2024-09-20 17:59 前言 WPS(Wi-Fi Protected Setup,Wi-Fi保护设置)是由 Wi-Fi联盟推出的全新Wi-Fi安全防护设定标准。该标准推出的主要原因是为了解决长久以来无线网络加密认证设定的步骤过于繁杂之弊病,使用者往往会因为步骤太过麻烦,以致干脆不做任何加密安全设定,因而引发许多安
继续阅读一次简单通用未授权漏洞挖掘
一次简单通用未授权漏洞挖掘 原创 青春计协 青春计协 2024-09-20 12:52 GRADUATION 点击蓝字 关注我们 前言: 一次…简单…通用未授权访问漏洞挖掘 FoFa直接搜索的是:公司产品 随意选择了一个公司进行测试; 信息收集: 这次漏洞挖掘没怎么进行信息收集,暂时不过多介绍 漏洞测试: A、未授权访问: 存在弱口令,直接使用admin和admin即可进入
继续阅读【安全圈】建筑行业会计软件Foundation遭受攻击,威胁行为者利用MSSQL漏洞进行入侵
【安全圈】建筑行业会计软件Foundation遭受攻击,威胁行为者利用MSSQL漏洞进行入侵 安全圈 2024-09-19 19:00 关键词 网络攻击 威胁行为者一直以建筑行业总承包商常用的 Foundation 会计软件为目标,利用管道、HVAC 和混凝土子行业等中的积极漏洞。 Huntress 的研究人员最初在 9 月 14 日跟踪活动时发现了这种威胁。“让我们感到震惊的是,主机/域枚举命令
继续阅读