标签: 权限绕过

Moxa 提醒用户注意蜂窝和安全路由器中的高严重性漏洞

发布于 作者:

Moxa 提醒用户注意蜂窝和安全路由器中的高严重性漏洞 信息安全大事件 2025-01-07 11:56 总部位于台湾的 Moxa 警告称,其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞,可能允许权限提升和命令执行。 漏洞列表如下: – CVE-2024-9138 (CVSS 4.0 分数:8.6) – 一种硬编码的凭证漏洞,可能允许经过身份验证的用户提升权限并获得

继续阅读

渗透测试速查表

发布于 作者:

渗透测试速查表 原创 破天KK KK安全说 2025-01-07 10:05 渗透测试 (pentesting) 是识别和解决系统、网络和应用程序中的漏洞的关键过程。随着组织越来越依赖数字基础设施,确保强大的安全性变得至关重要。此渗透测试备忘单旨在作为初学者和经验丰富的渗透测试人员的实用指南,涵盖工具、技术和方法。 1. 准备渗透测试 1.1 定义范围 确定要测试的系统、网络和应用程序。 了解测试

继续阅读

Moxa 设备严重漏洞将工业网络暴露在攻击中

发布于 作者:

Moxa 设备严重漏洞将工业网络暴露在攻击中 Bill Toulas 代码卫士 2025-01-07 04:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 工业网络和通信提供商 Moxa 提醒称,多个蜂窝路由器、安全路由器和网络安全设备的多个机型受一个高危漏洞和一个严重漏洞影响。这两个漏洞可导致远程攻击者在易受攻击设备上获得根权限并执行任意命令,从而导致任意代码执行后果。 Moxa 路

继续阅读

【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响)

发布于 作者:

【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响) 实战安全研究 2025-01-07 01:00 11.6 – birthday gift for me 商务合作、转载本文,请后台私聊本公众号 吃瓜请看至文末 致谢 我是Feng Jiaming,公开别名 Sugobet/M1n9K1n9,来自中国广东工贸职业技术学院的在校学生 I&#8

继续阅读

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

发布于 作者:

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析 原创 ybdt 卡卡罗特取西经 2025-01-06 12:41 前言 朋友圈看到有人转发了一篇“CVE-2024-25600:WordPress Bricks Builder RCE”,感觉挺有意思,点进去看了下,可是从头到尾看得我有点迷糊,本着打破砂锅问到底的原则,本文试图以漏洞挖掘者的视角详细

继续阅读

从js到高危垂直越权漏洞挖掘

发布于 作者:

从js到高危垂直越权漏洞挖掘 白帽子左一 白帽子左一 2025-01-06 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1. 访问目标 在漏洞挖掘时,我们再次遇到一个仅提供登录表单的目标系统,我们尝试通过 数据泄露监控平台 寻找可能存在的凭据信息,以便用于登录目标系统。长话短说,我们找到了一组有效的账户信息,

继续阅读

攻防靶场(31):日志投毒与文件包含漏洞 Solstice

发布于 作者:

攻防靶场(31):日志投毒与文件包含漏洞 Solstice 原创 罗锦海 OneMoreThink 2025-01-03 17:17 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏洞提权:高权限运行的程序 靶机下载地址:https://www.vulnhub.com/entry/sunset-sols

继续阅读

Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步

发布于 作者:

Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等

继续阅读

Web安全进阶:漏洞分析与防范实战技巧

发布于 作者:

Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景

继续阅读

【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!

发布于 作者:

【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大

继续阅读

指导手册 | Web漏洞分析与防范实战

发布于 作者:

指导手册 | Web漏洞分析与防范实战 新书速递→ WK安全 2025-01-03 00:51 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,

继续阅读

上周关注度较高的产品安全漏洞(20241223-20241229)

发布于 作者:

上周关注度较高的产品安全漏洞(20241223-20241229) 金瀚信安 2025-01-03 00:45 一、境外厂商产品漏洞 1、 Adobe Animate空指针解引用漏洞(CNVD-2024-48894) Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe Animate存在空指针解引用漏洞,攻击者可利用该漏洞在当前用户的环境中执行任意代码

继续阅读

【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!!

发布于 作者:

【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!! 新书速递→ 网络安全007 2025-01-03 00:01 文末扫码参与抽奖! 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全

继续阅读

新书推荐《Web漏洞分析与防范实战》

发布于 作者:

新书推荐《Web漏洞分析与防范实战》 Web安全工具库 2025-01-02 08:32 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,网络安

继续阅读

研究漏洞方法指南 | Web漏洞分析与防范实战

发布于 作者:

研究漏洞方法指南 | Web漏洞分析与防范实战 新书速递→ 湘安无事 2025-01-02 08:28 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的

继续阅读

实战利器 50个渗透攻防命令速查!

发布于 作者:

实战利器 50个渗透攻防命令速查! 原创 牛叫瘦 HACK之道 2025-01-02 02:00 一、信息收集与分析 1. nmap -sV -O -A -p- 目标IP • 这是一个综合的nmap扫描命令,用于发现目标主机的开放端口、服务版本、操作系统类型以及可能的漏洞。-sV 选项用于检测服务版本,-O 用于检测操作系统类型,-A 启用操作系统和服务检测的高级选项,-p- 表示扫描所有端口。

继续阅读

网络文件系统 (NFS) 协议中经常被忽视的漏洞

发布于 作者:

网络文件系统 (NFS) 协议中经常被忽视的漏洞 独眼情报 2025-01-01 03:13 HvS-Consulting GmbH 发布了一份技术报告,揭示了网络文件系统 (NFS) 协议中经常被忽视的漏洞。NFS 广泛用于跨平台远程文件访问,但由于配置错误和安全功能利用不足,其灵活性无意中带来了安全挑战。 该报告概述了研究团队对 NFS 漏洞的探索,重点关注其安全属性、常见配置错误以及利用这些

继续阅读

2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区

发布于 作者:

2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区 360数字安全 2024-12-31 08:10 数字时代,一切都架构在软件、网络、大数据之上。由于硬件、软件、协议在具体实现或操作系统安全策略上总会存在缺陷,所以漏洞无法避免。在即将过去的2024年中,安全漏洞数量持续增长,类型日趋多样化。 据360漏洞情报平台全网漏洞监测显示,2024年全球范围内共计披露出44622个

继续阅读

雷神众测漏洞周报2024.12.23-2024.12.29

发布于 作者:

雷神众测漏洞周报2024.12.23-2024.12.29 原创 雷神众测 雷神众测 2024-12-31 05:57 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任

继续阅读

Linux 内核漏洞 CVE-2023-4147:针对权限提升缺陷的 PoC 漏洞已发布

发布于 作者:

Linux 内核漏洞 CVE-2023-4147:针对权限提升缺陷的 PoC 漏洞已发布 Ots安全 2024-12-31 05:48 安全研究人员公布了 Linux 内核中 CVE-2023-4147 漏洞的技术细节和概念验证 (PoC) 漏洞利用,该漏洞可能允许攻击者提升权限并破坏系统安全。此漏洞的 CVSS 评分为 7.8,凸显了 Netfilter 功能中的释放后使用漏洞,而 Netfil

继续阅读

警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制!

发布于 作者:

警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制! 原创 Hankzheng 技术修道场 2024-12-31 00:00 【利用弱密码恢复、SSRF、危险函数等漏洞,黑客可发动“Open Sesame”攻击,获取设备序列号,进而控制整个网络!】 近日,网络安全研究人员发现锐捷网络 开发的云管理平台存在多个安全漏洞,攻击者可以利用这些漏洞控制接入该平台的网络设备 。 Claroty

继续阅读

CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析

发布于 作者:

CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析 船山信安 2024-12-30 18:00 漏洞简介 Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 影响版本 6.0.0 <= Zabbi

继续阅读

漏洞分析 | Apache SkyWalking SQL注入漏洞分析

发布于 作者:

漏洞分析 | Apache SkyWalking SQL注入漏洞分析 原创 杂七 杂七杂八聊安全 2024-12-30 03:36 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 熟悉Graphql 0x01.1 Graphql环境搭建 通过springboot搭建graphql环境,pom .xml内容如下: 其中

继续阅读

Guns后台任意文件上传漏洞分析

发布于 作者:

Guns后台任意文件上传漏洞分析 船山信安 2024-12-30 01:12 下载地址: 主项目: https://gitee.com/stylefeng/guns 核心包: https://gitee.com/stylefeng/roses 分析认证逻辑 找个正常的接口访问,发现没有自定义filter, 我们大概看一下spring的filter执行流程是咋样的, 可以看到这里有6个filter,

继续阅读

警惕!2024年全球零日漏洞利用呈现七大趋势

发布于 作者:

警惕!2024年全球零日漏洞利用呈现七大趋势 安全内参编译 安小圈 2024-12-30 00:45 安小圈 第578期 【零日漏洞】趋势 网络安全设备、远程监控和管理产品、托管文件传输服务、CI/CD工具、开源软件供应链、AI基础软件、系统自带安全功能等成为零日漏洞的热门攻击目标。 安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络

继续阅读