硬件密钥集体破防,英飞凌芯片暗藏14年高危漏洞
硬件密钥集体破防,英飞凌芯片暗藏14年高危漏洞 点击关注-> 智探AI应用 2024-09-15 16:55 多年以来,硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线,然而最新研究发现,这些被认为牢不可破的“安全硬件”,实际上暗藏严重漏洞。 近日,来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文,披露英飞凌(Infineon)安全微控制器中存在一个重大侧信道漏
继续阅读标签: 漏洞
Fastjson 1.2.24 RCE复现
Fastjson 1.2.24 RCE复现 原创 Pikaciu Piusec 2024-09-15 16:38 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任! 漏洞复现 这个fastjson1.2.24 rce漏洞是通过 vulhub 靶场搭建的,我通过vulhub以及网上各种文章的exp复现
继续阅读漏洞?忽略!忽略!忽略!
漏洞?忽略!忽略!忽略! 威零安全团队 2024-09-15 15:06 现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后
继续阅读漏洞挖掘 | 记一次针对blade站点的渗透测试
漏洞挖掘 | 记一次针对blade站点的渗透测试 原创 zkaq – Tobisec 掌控安全EDU 2024-09-15 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 浅谈 哈喽,师傅们好! 这篇文章呢,主要是我在微信公众号通
继续阅读API接口文件包含+命令执行
API接口文件包含+命令执行 原创 道玄安全 道玄网安驿站 2024-09-15 11:20 “ API接口测试” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋友,可以私
继续阅读ThinkPHP5路由rce漏洞分析
ThinkPHP5路由rce漏洞分析 原创 阅 SecNL安全团队 2024-09-15 09:33 ThinkPHP5路由rce漏洞分析 使用的版本是tp5.0.18 https://github.com/top-think/framework/releases/tag/v5.0.18 https://github.com/top-think/think/releases/tag/v5.0.18
继续阅读漏洞预警 | 浪潮云财务系统远程代码执行漏洞
漏洞预警 | 浪潮云财务系统远程代码执行漏洞 浅安 浅安安全 2024-09-15 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 浪潮云财务系统是一款面向成长型企业及集团企业的智能ERP系统,旨在满足企业多样化的财务管理需求。 0x03 漏洞详情 漏洞类型: 远程代码执行 影响: 执行任意代码 简述: 浪潮云财务系统的Uni
继续阅读某群管理系统存在SQL注入漏洞
某群管理系统存在SQL注入漏洞 原创 儒道易行 儒道易行 2024-09-14 20:00 有些事情不是看到希望才去坚持,而是坚持了才会看到希望。 漏洞实战 访问url: 登录界面如下: 输入万能密码: 成功登录: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何
继续阅读【漏洞情报】惊!PC端某云盘存在Bug?
【漏洞情报】惊!PC端某云盘存在Bug? 原创 xuan8ai 隼目安全 2024-09-14 19:33 点击蓝字 关注我们 免责声明 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢
继续阅读技术详解 | CertiK协助修复Solana大整数模幂运算中的DOS漏洞
技术详解 | CertiK协助修复Solana大整数模幂运算中的DOS漏洞 原创 CertiK CertiK 2024-09-14 19:31 导读: 本文深入探讨了区块链交易费⽤模型的重要性及其在确保网络安全和有效运行中的关键作用。通过对以太坊和Solana区块链网络的交易费⽤模型进行比较分析,揭示了不安全的交易计费可能引发的网络安全风险。特别关注了 CertiK团队发现并协助修复的Solana
继续阅读第二届“天网杯”网络安全大赛,华为安全产品零漏洞完赛
第二届“天网杯”网络安全大赛,华为安全产品零漏洞完赛 华为安全 2024-09-14 19:25 [中国,天津,2024年9月14日]近日,第二届“天网杯”网络安全大赛成功举办,本次大赛由天津市人民政府主办、国家计算机病毒应急处理中心、公安部第一研究所、天津市公安局、天津市委网信办、天津市工业和信息化局、天津市数据局、天津市滨海新区人民政府承办。大赛致力于选拔人才,集聚产业生态,推动数字化转型高质
继续阅读【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息 安全圈 2024-09-14 19:02 关键词 数据泄露 近日,苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit,该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者
继续阅读苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码
苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码 看雪学苑 看雪学苑 2024-09-14 17:59 近日,苹果公司的混合现实头显设备Apple Vision Pro被曝光存在安全漏洞, 攻击者可 通过分析用户的眼动追踪数据, 破解用户在虚拟键盘上输入的内容,成功复现人们通过眼动输入的密码、PIN码等敏感信息。 这是一种 新型攻击方法 ,被命名为GAZEploit ,该攻击方法利用了
继续阅读Apple Vision Pro漏洞暴露虚拟键盘输入
Apple Vision Pro漏洞暴露虚拟键盘输入 THN 代码卫士 2024-09-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复 Vision Pro 中的一个严重漏洞 (CVE-2024-40865),它本可刀子攻击者暴露在设备虚拟键盘上输入的的数据。 该攻击名为“GAZEploit”,是“一种新型攻击,可从头像中提取与眼睛相关的生物特征,重构通过受注视控
继续阅读CISA 和 Ivanti: Cloud Services Appliance 高危漏洞已遭利用
CISA 和 Ivanti: Cloud Services Appliance 高危漏洞已遭利用 Ryan Naraine 代码卫士 2024-09-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 紧急提醒称,Ivanti Cloud Services Appliance (CSA) 中存在一个高危漏洞 (CVE-2024-8190) 且正遭活跃利用。该漏洞被归类
继续阅读CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报 中国信息安全 2024-09-14 17:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷
继续阅读【赏金15000美元】通过监控调试模式实现 RCE
【赏金15000美元】通过监控调试模式实现 RCE 原创 骨哥说事 骨哥说事 2024-09-14 16:40 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景
继续阅读实时更新的漏洞库索引工具推荐
实时更新的漏洞库索引工具推荐 原创 king 信安王子 2024-09-14 16:29 工具背景 随着信息技术的飞速发展,网络攻击的方式和规模日益复杂和多样化,网络安全成为了企业和个人面临的首要问题。各种形式的漏洞利用和网络攻击时有发生,严重威胁着信息系统的安全。因此,漏洞管理成为了维护网络安全的重要组成部分。而现有的漏洞库虽然信息丰富,但由于漏洞的快速更新及其庞大数量,现有工具或资源常常无法及
继续阅读向日葵RCEbypass
向日葵RCEbypass 原创 无问社区 白帽子社区团队 2024-09-14 16:16 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可 免费获取安全技术资料,社区可提供的技术资料覆盖全网,辅助学习的
继续阅读一次简单通用漏洞挖掘
一次简单通用漏洞挖掘 原创 青春计协 青春计协 2024-09-14 15:25 GRADUATION 点击蓝字 关注我们 前言: 挺久没挖洞了,打算看一下工作这边的软件公司有无通用系统,fofa随意搜索了一家发现有个类似钉钉这类的通讯系统,资产还挺多的,因为时间问题就简单测了一下逻辑漏洞; 信息收集: 通过用户手册,直接知道了后台的管理地址,以及默认的用户名和密码等信息; 漏洞测试: A、弱口令
继续阅读万户协同办公平台ezoffice filesendcheck_gd SQL注入漏洞复现及POC
万户协同办公平台ezoffice filesendcheck_gd SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-09-14 14:25 FOFA "Ezoffice" POC GET /defaultroot/modules/govoffice/gov_documentmanager/filesendcheck_gd.jsp;.j
继续阅读【SRC】比较有意思的几个漏洞挖掘记录
【SRC】比较有意思的几个漏洞挖掘记录 红猪 Z2O安全攻防 2024-09-13 21:08 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读某群管理系统存在默认凭据漏洞
某群管理系统存在默认凭据漏洞 原创 儒道易行 儒道易行 2024-09-13 20:00 我们都生活在阴沟里,但仍有人仰望星空。 漏洞实战 访问url: 登录界面如下: 输入默认账号密码: 成功登录: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。 转载声
继续阅读全文干货!Redis漏洞利用详解 (上)
全文干货!Redis漏洞利用详解 (上) 原创 LULU 红队蓝军 2024-09-13 18:10 redis漏洞利用原理 Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。Redis 提供了2种不同的持久化方式,RDB方式和AOF方式. Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密
继续阅读GitLab 提醒注意严重的管道执行漏洞
GitLab 提醒注意严重的管道执行漏洞 Bill Toulas 代码卫士 2024-09-13 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布重要更新,修复多个漏洞,其中最严重的CVE-2024-6678可导致攻击者在某些条件下以任意用户身份触发管道。 新发布的版本17.3.2、17.2.5和17.1.7 同时适用于GitLab 社区版 (CE) 和企业版
继续阅读Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告
Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告 奇安信 CERT 2024-09-13 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 2024-0
继续阅读中秋元月特设百万奖金池!增设10%额外奖金激励和豪华礼品!以洞会友,360漏洞云邀您共赏明月下的安全之美!
中秋元月特设百万奖金池!增设10%额外奖金激励和豪华礼品!以洞会友,360漏洞云邀您共赏明月下的安全之美! 360漏洞云 2024-09-13 15:23 佳节 MID-AUTUMNFESTIVAL 花 好 月 圆 国 安 家 圆 金秋送爽,丹桂飘香,又是一年中秋美好时光,360漏洞云祝各位师傅花好月圆人团聚 ,共享中秋温馨与数字世界安宁! 在这个寓意团圆与守护的佳节里,360漏洞云不忘初心,向白
继续阅读【复现】 Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告
【复现】 Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-09-13 11:34 赛博昆仑漏洞安全通告- Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告 漏洞描述 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技
继续阅读山石荣获国家信息安全漏洞库CNNVD多项年度大奖
山石荣获国家信息安全漏洞库CNNVD多项年度大奖 NEURON-Akast 山石网科安全技术研究院 2024-09-13 08:34 9月11日下午,作为CCS2024成都网络安全系列活动之一的国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公司、信创企业、高校科研机构的近300名代表参会。 中国信息安全测评中心任
继续阅读【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行
【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行 cexlife 飓风网络安全 2024-09-12 23:22 漏洞描述:监测到Adobe ColdFusion发布安全公告,修复了Adobe ColdFusion中的一个反序列化漏洞,该漏洞允许未授权的攻击者通过恶意反序列化数据在服务器上执行任意代码,获取服务器控制权限。修复建议:正式防护方案:厂商已发布补丁修复漏洞,
继续阅读