赏金$3133的漏洞
赏金$3133的漏洞 迪哥讲事 2025-01-02 15:41 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任 背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。 幻灯片准备好后,开始点击演示者视图来预览它们,由于白
继续阅读标签: 暴力破解
实战利器 50个渗透攻防命令速查!
实战利器 50个渗透攻防命令速查! 原创 牛叫瘦 HACK之道 2025-01-02 02:00 一、信息收集与分析 1. nmap -sV -O -A -p- 目标IP • 这是一个综合的nmap扫描命令,用于发现目标主机的开放端口、服务版本、操作系统类型以及可能的漏洞。-sV 选项用于检测服务版本,-O 用于检测操作系统类型,-A 启用操作系统和服务检测的高级选项,-p- 表示扫描所有端口。
继续阅读【安全圈】捷某网络云平台漏洞曝光:50000 台设备面临远程攻击风险
【安全圈】捷某网络云平台漏洞曝光:50000 台设备面临远程攻击风险 安全圈 2025-01-01 11:00 关键词 漏洞 网络安全研究人员近期发现,由某捷网络开发的云管理平台存在多个高危安全漏洞,可能使攻击者能够远程接管网络设备。根据 Claroty 安全研究团队的 Noam Moshe 和 Tomer Goldschmidt 的最新分析报告,这些漏洞不仅影响 Reyee 云平台,还波及 Re
继续阅读【漏洞复现】北京友数 CPAS 审计管理系统存在任意文件读取漏洞
【漏洞复现】北京友数 CPAS 审计管理系统存在任意文件读取漏洞 FL_Clover 网络安全007 2025-01-01 08:52 漏洞介绍 在当今复杂多变的商业环境中,审计管理系统对于确保企业合规运营、防范财务风险起着中流砥柱的作用。北京友数 CPAS 审计管理系统凭借其专业的功能模块与出色的适配性,在众多行业领域获得了广泛应用,为企业和各类机构的审计工作提供了有力支撑。 据最新消息称,北京
继续阅读警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制!
警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制! 原创 Hankzheng 技术修道场 2024-12-31 00:00 【利用弱密码恢复、SSRF、危险函数等漏洞,黑客可发动“Open Sesame”攻击,获取设备序列号,进而控制整个网络!】 近日,网络安全研究人员发现锐捷网络 开发的云管理平台存在多个安全漏洞,攻击者可以利用这些漏洞控制接入该平台的网络设备 。 Claroty
继续阅读如何在复杂环境下快速定位并应对网络攻击?
如何在复杂环境下快速定位并应对网络攻击? 原创 专业 信息安全动态 2024-12-29 22:00 在当今数字化时代,网络环境变得愈发复杂。随着信息技术的飞速发展,各种网络设备、系统和应用层出不穷,它们相互连接、交互,形成了一个庞大而错综复杂的网络空间。从企业的内部办公网络到全球范围的互联网,从传统的计算机系统到新兴的物联网设备,无数的节点和链路构成了这一复杂的网络生态。 与此同时,网络攻击的频
继续阅读自学漏洞技术90%的人都错了!
自学漏洞技术90%的人都错了! 原创 龙哥 龙哥网络安全 2024-12-28 02:00 自学黑客技术挖漏洞, 90% 的人都搞错了!这才是最系统的学习方法 ! 自学了大半年还挖不出一个漏洞,而我一个月就能搞个近万块钱的漏洞赏金,方法没掌握正确,你再练习 2 年半也没有用。 第一, 基础要打好,操作系统、计算机网络、 web 安全基础和数据库这 4 个东西是必学的,很多人都是跳过这一块 ,所以一
继续阅读锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点
锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点 网安百色 2024-12-27 11:40 点击上方 蓝字 关注我们吧~ 近日,网络安全研究人员在 锐捷网络 的云管理平台中发现多个严重漏洞,这些漏洞可能使攻击者全面控制网络设备,进而对企业和个人用户的网络安全构成重大威胁。 从云端入侵WiFi接入点 来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指
继续阅读价值$3000的Google Slides IDOR漏洞
价值$3000的Google Slides IDOR漏洞 芳华绝代安全团队 2024-12-27 08:05 2024年最后一波招生——玲珑安全技能提升班 <-点击查看 关注公众号,阅读优质好文。 正文 某天下午,我在办公室用 Google Slides 制作演讲用的幻灯片。幻灯片完成后,我点击了“演示者视图”来预览。在活动期间,我计划与观众进行实时问答,于是上网查找 Google Slid
继续阅读工具集:TsojanScan【BurpSuite漏洞探测插件】
工具集:TsojanScan【BurpSuite漏洞探测插件】 wolven Chan 风铃Sec 2024-12-27 05:30 工具介绍 TsojanScan 提供了多种扫描模块,支持主动和被动的漏洞探测,优化了扫描性能和兼容性,是一个强大的渗透测试工具。本着市面上各大漏洞探测插件的功能比较单一,TsojanScan 在已有框架的基础上修改并增加常用的漏洞探测POC,会以最少的数据包请求来准
继续阅读Adobe最新漏洞被披露,已有PoC代码流出
Adobe最新漏洞被披露,已有PoC代码流出 工业互联网安全 金瀚信安 2024-12-27 05:27 Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意
继续阅读Nuclei-Scan分布式漏洞扫描平台-可联动 AssetsDetectAPI 资产搜集|漏洞探测
Nuclei-Scan分布式漏洞扫描平台-可联动 AssetsDetectAPI 资产搜集|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-25 16:00 0x01 工具介绍 NucleiPlatform 一个分布式漏洞扫描系统,支持基于 Nuclei 的多节点任务调度和自动化资产扫描。可分组管理资产,集成域名收集、端口扫描、指纹识别等功能,支持 Redis 和 Mongo 数据库
继续阅读Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出
Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出 独眼情报 2024-12-24 06:00 Adobe 发布了带外安全更新,以通过概念验证 (PoC) 漏洞代码解决严重的 ColdFusion 漏洞。 该公司在周一发布的一份公告中表示,该漏洞(追踪为 CVE-2024-53961)是由影响 Adobe ColdFusion 版本 2023 和 2021 的路径遍历弱点引
继续阅读一文理解条件竞争漏洞
一文理解条件竞争漏洞 白帽子左一 白帽子左一 2024-12-24 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 理解竞争条件的基本概念 竞争条件(也就是条件竞争,一个意思)是一种常见的漏洞类型,与业务逻辑缺陷密切相关。当网站在没有足够保护措施的情况下并发处理请求时,就会发生竞争条件。多个独立的线程同时与同一数
继续阅读OtterRoot Netfilter 通用型 Linux 本地提权 1-day 漏洞
OtterRoot Netfilter 通用型 Linux 本地提权 1-day 漏洞 Pedro Pinto securitainment 2024-12-21 05:37 OtterRoot Netfilter Universal Root 1-day 在三月下旬,我尝试监控 Linux 内核子系统中容易出现可利用漏洞的热点区域的代码提交,这部分是为了研究通过补丁差异分析和循环利用一天漏洞来维
继续阅读【翻译】身份验证失效:利用高级身份验证漏洞的完整指南
【翻译】身份验证失效:利用高级身份验证漏洞的完整指南 novasecio 安全视安 2024-12-21 04:24 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 身份验证漏洞很有趣,因为它们本质上影响很大,并且经常允许未经授权的用户以提升的权限访问各种资源。尽管它们更难发现,在OWASP 十大
继续阅读工具集:TomcatScanPro【tomcat自动化漏洞扫描利用工具】
工具集:TomcatScanPro【tomcat自动化漏洞扫描利用工具】 wolven Chan 风铃Sec 2024-12-19 04:05 简介 本项目是一个针对 Tomcat 服务的弱口令检测。除了支持 CVE-2017-12615 漏洞的多种利用方式外,还集成了 CNVD-2020-10487 漏洞(Tomcat AJP 协议本地文件包含漏洞)的利用功能,帮助用户高效检测和利用漏洞获取服务
继续阅读实战-关于KEY泄露API接口利用
实战-关于KEY泄露API接口利用 和 神农Sec 2024-12-19 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2909-keyapi 作者:和 0x1 前言 最近做项目遇见的各个平台的Key泄露的比较多,正
继续阅读如何开展漏洞扫描工作
如何开展漏洞扫描工作 苏说安全 2024-12-18 23:00 漏洞扫描是网络安全领域中的一项关键活动,以下是对漏洞扫描的定义、原理及开展方法的详细解释: 一、定义 漏洞扫描是一种网络安全工具,用于检测计算机系统、网络设备和应用程序中存在的安全漏洞。这些漏洞可能会被黑客利用,导致系统被入侵、数据泄露或服务中断。因此,漏洞扫描是保护网络安全的重要步骤之一。 二、原理 漏洞扫描的原理基于漏洞数据库,
继续阅读知名企业深陷漏洞“迷局”,网络安全专家组队“破局”!
知名企业深陷漏洞“迷局”,网络安全专家组队“破局”! 天融信教育 2024-12-18 09:35 近期,天融信接到一家知名企业求助 在一次常规安全检查中 客户发现系统中存在多个未授权访问漏洞 Spring Boot Actuator、Redis、Swagger API 等敏感信息暴露无遗 为黑客敞开一扇扇“方便之门” 越权访问、弱口令攻击等安全事件层出不穷 如同一颗颗“隐形地雷” 企业信息安全体
继续阅读打印机也有“隐形”威胁?这些安全漏洞请注意!
打印机也有“隐形”威胁?这些安全漏洞请注意! 中泊研团队 中泊研安全应急响应中心 2024-12-18 03:04 打印机是高校企业不可或缺的办公工具,从最初的单机操作到如今的网络共享打印,其功能和连接方式经历了翻天覆地的变化。 然而,随着网络化程度的提高,打印机的安全问题也逐渐浮出水面。 网络打印的安全隐患 在追求便捷的同时,我们可能忽视了潜在的风险。如果打印机配置不当或存在安全漏洞,可能会给使
继续阅读极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身
极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身 原创 犀利猪 犀利猪安全 2024-12-18 02:20 文章转载至: https://xz.aliyun.com/t/16747 作者:消失的猪猪 0x00 文章前言 一次客户系统的测试,全程码死,整个系统存在多种类型漏洞。给大家看看,展开思路,自我感觉属于是相当经典的一次测试,漏洞也是相当经典的几种漏洞。 0x01 测试开始 开局一个登
继续阅读一次完整的Jwt伪造漏洞实战案例
一次完整的Jwt伪造漏洞实战案例 原创 Tai Code4th安全团队 2024-12-17 14:11 本文章由团队师傅[Tai]授权发布 某次漏洞挖掘 时 遇到了任 意用户登录漏洞,这次的漏洞案例是由于 jwt 存在弱密钥,攻击者可以伪造 jwt ,从而获取非授权访问权限。此外站点还存在弱口令,可以通过弱口令登录 druid 后台,查看敏感信息。 首先通过微信搜索小程序,找到目标。 点击进入小
继续阅读写了一个自动测试弱口令漏洞的脚本
写了一个自动测试弱口令漏洞的脚本 原创 xazlsec 信安之路 2024-12-17 01:00 为了实现登录口的自动弱口令尝试,在 github 找了一圈发现已经有小伙伴做了一些研究,项目地址: https://github.com/yzddmr6/WebCrack 为此,作者还专门写了一个博客来介绍他的实现思路,地址: https://yzddmr6.com/posts/webcrack-r
继续阅读【神兵利器】飞企互联FE漏洞综合利用工具
【神兵利器】飞企互联FE漏洞综合利用工具 M0untainShley 七芒星实验室 2024-12-16 23:00 项目介绍 飞企互联 FE 平台一键漏洞探测工具,支持单 url 以及批量探测 漏洞支持 支持对如下漏洞进行探测 1. uploadAttachmentServlet 任意文件上传漏洞 common_sort_tree.jsp 表达式命令执行&任意文件写入漏洞 validat
继续阅读警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险
警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险 安全客 2024-12-16 09:51 最近,Oasis Security的研究团队揭示了一个严重的漏洞,影响了微软Azure的多因素身份验证(MFA)系统,可能使数百万用户的敏感信息面临被攻击的风险。该漏洞允许攻击者在没有用户交互或通知的情况下,轻松获得对Outlook电子邮件、OneDrive文件、Teams聊天和Azure云服务
继续阅读实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载)
实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载) 原创 sspsec SSP安全研究 2024-12-16 00:57 在本次金融系统安全测试中,我们从一个日志泄露问题入手,逐步挖掘并利用了系统弱口令和越权访问漏洞,最终实现了对后台系统的高权限接管。本次分享将带您全程回顾漏洞挖掘过程及系统安全的防护建议。 🔍 1. 日志泄露 – 敏感信息曝光 漏洞描述 我们使用自研的Sp
继续阅读微软 MFA 现 AuthQuake 漏洞, 允许无限次暴力破解!
微软 MFA 现 AuthQuake 漏洞, 允许无限次暴力破解! 原创 技术修道场 技术修道场 2024-12-15 23:54 漏洞速递 Oasis Security 的安全研究人员发现微软多因素身份验证 (MFA) 机制存在一个严重漏洞,允许攻击者绕过 MFA 保护, unauthorized access 受害者账户。 漏洞详情 – 漏洞名称: AuthQuake 漏洞描
继续阅读网络钓鱼是数据泄露的无声前兆
网络钓鱼是数据泄露的无声前兆 原创 何威风 祺印说信安 2024-12-15 16:00 网络钓鱼不仅仅是一种滋扰,它是破坏性数据泄露的可怕前兆。 网络钓鱼是当今网络威胁领域中最普遍的策略、技术和程序 (TTP) 之一。它通常是数据泄露的门户,可能对组织和个人造成毁灭性后果。例如, 2021 年的 Colonial Pipeline 网络攻击始于与网络钓鱼相关的入侵,导致勒索软件攻击,扰乱了美国各
继续阅读