逻辑漏洞——验证码篇
逻辑漏洞——验证码篇 原创 青春计协 青春计协 2024-09-03 19:01 GRADUATION 点击蓝字 关注我们 一、前言: 验证码现在几乎是在任何地方都是随处可见的,不管是登录还是注册大部分均存在 二、图形验证码: A、验证码DOS: 原理:图片的长度和宽度是我们自己可控制的,正常请求的width=130&height=50 原数据较小: 修改后:可以发现数据明显大了 备注:
继续阅读标签: 漏洞
【安全圈】Durex India 的安全漏洞泄露了客户的个人数据
【安全圈】Durex India 的安全漏洞泄露了客户的个人数据 安全圈 2024-09-03 19:00 关键词 数 据 泄露 据报道,英国流行的避孕套和个人润滑剂品牌的当地子公司 Durex India 遭受了一次重大 网络 攻击 ,在网上暴露了敏感的客户信息。 据报道,杜蕾斯印度数据泄露涉及敏感客户 数 据 泄露,这些数据可以通过杜蕾斯印度网站上安全性不足的订单确认页面访问。 暴露的信息包括
继续阅读【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告
【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告 奇安信 CERT 2024-09-03 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Jenkins Remoting 任意文件读取漏洞 漏洞编号 QVD-2024-35669,CVE-2024-43044 公开时间 2024-08-07 影响量级 万级 奇安
继续阅读朝鲜黑客利用Chrome零日漏洞部署Rootkit
朝鲜黑客利用Chrome零日漏洞部署Rootkit 网络安全应急技术国家工程中心 2024-09-03 16:08 朝鲜黑客在使用Windows内核漏洞获得 SYSTEM权限后,利用最近修补的谷歌Chrome零日漏洞(CVE-2024-7971)部署 FudModule Rootkit。 “我们以高可信度评估,观察到CVE-2024-7971漏洞被朝鲜黑客利用,以在加密货币行业获取经济利益。”微软
继续阅读雷神众测漏洞周报2024.08.26-2024.09.01
雷神众测漏洞周报2024.08.26-2024.09.01 原创 雷神众测 雷神众测 2024-09-03 15:52 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240826-20240901)
上周关注度较高的产品安全漏洞(20240826-20240901) 国家互联网应急中心CNCERT 2024-09-03 15:27 一、境外厂商产品漏洞 1、 Mozilla Firefox拒绝服务漏洞(CNVD-2024-36732)**** Mozilla Firefox 是美国 Mozilla 基金会的一款开源 Web 浏览器。 Mozilla Firefox 存在拒绝服务漏洞,该漏洞源于
继续阅读小米中秋活动开始啦,礼盒兑换&漏洞翻倍在等你,冲鸭~
小米中秋活动开始啦,礼盒兑换&漏洞翻倍在等你,冲鸭~ 小米安全中心 小米安全中心 2024-09-03 09:57
继续阅读漏洞推送|用友U8C reservationcomplete存在sql注入可RCE
漏洞推送|用友U8C reservationcomplete存在sql注入可RCE 原创 小白菜安全 小白菜安全 2024-09-02 23:31 漏洞描述 用友U8CRM-/bgt/reservationcomplete.php存在SQL注入漏洞,攻击者可通过此漏洞进行命令执行并且可通过该漏洞绕过登录访问后台。 资产信息 FOFA: title=”用友U8CRM” 漏洞复
继续阅读「漏洞复现」WookTeam searchinfo SQL注入漏洞
「漏洞复现」WookTeam searchinfo SQL注入漏洞 冷漠安全 冷漠安全 2024-09-02 20:51 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读HVV2024POC漏洞核查思路
HVV2024POC漏洞核查思路 原创 数据安全合规交流部落 数据安全合规交流部落 2024-09-02 20:08 2024HVV已告一段,互联网上已经有网友整理好包含今年hvv期间暴露出来的283个漏洞的POC合集,在这个过程中,不少安全运营者肯定想对自己管理的资产进行相关测试确定有没有受影响的漏洞。 下面将介绍如何使用Python脚本,结合基于路径的指纹库,实现WEB指纹识别与漏洞检测。后面
继续阅读某系统存在路径遍历漏洞
某系统存在路径遍历漏洞 原创 儒道易行 儒道易行 2024-09-02 20:00 我深怕自己本非美玉,故而不敢加以刻苦琢磨,却又半信自己是块美玉,故又不肯庸庸碌碌,与瓦砥为伍。 漏洞描述 某系统中存在路径遍历漏洞。远程攻击者可通过发送包含/../的特制URL请求利用该漏洞查看系统上的任意文件。 漏洞实战 访问漏洞url: 构造payload,发送请求包读取文件 漏洞证明: 文笔生疏,措辞浅薄,望
继续阅读【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】
【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】 原创 阿诺 苏诺木安全团队 2024-09-02 19:46 免责声明:本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,若利用本文提供的内容或工具造成任何直接或间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。 fofa title="短视频矩阵营销系统&q
继续阅读红队武器库漏洞利用工具合集 – VulToolsKit
红队武器库漏洞利用工具合集 – VulToolsKit GSDK安全团队 2024-09-02 19:35 01 项目地址 https://github.com/onewinner/VulToolsKit 02 项目介绍 红队武器库漏洞利用工具合集整理 海康威视Hikvision综合漏洞利用工具 大华Dahua综合漏洞利用工具 Nacos综合漏洞利用工具 Vcenter综合漏洞利用工具
继续阅读MSI 文件漏洞的探索
MSI 文件漏洞的探索 Ti TIPFactory情报工厂 2024-09-02 19:12 我们经常遇到 MSI 文件。开发者使用它们来提供和打包自己的程序。此格式比标准 EXE 格式更方便,原因如下: – 能够恢复、安装某些组件 数据存储在结构化的表中,可以通过 API 轻松访问 通过 SCCM、WEB 端点轻松分发 MSI 文件内部可能存在各种漏洞,大部分漏洞都会导致权限提升,既
继续阅读研究员利用SQL注入漏洞绕过机场的TSA安全审查
研究员利用SQL注入漏洞绕过机场的TSA安全审查 Sergiu Gatlan 代码卫士 2024-09-02 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员在一个关键的航空运输安全系统中发现一个漏洞,可被未授权人员用于绕过机场的安全检查并获得对飞机驾驶舱的访问权限。 研究人员 Ian Carroll 和 Sam Curry 在基于web的第三方服务 FlyCASS 中
继续阅读安全热点周报:Google Chrome 和 Apache OFBiz 漏洞被黑客利用,紧急修复措施发布
安全热点周报:Google Chrome 和 Apache OFBiz 漏洞被黑客利用,紧急修复措施发布 奇安信 CERT 2024-09-02 17:20 安全资讯导视 • 李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》 • 美国加州议会通过人工智能法案 • 全球石油巨头哈里伯顿因网络攻击被迫关闭系统 PART01 漏洞情报 1.Windows TCP/IP IPv6远程
继续阅读黑客组织利用WPS Office零日漏洞针对国内用户展开攻击活动
黑客组织利用WPS Office零日漏洞针对国内用户展开攻击活动 BaizeSec 白泽安全实验室 2024-09-02 13:33 事件概述: 近期,ESET研究团队披露了一起严重的网络安全事件,疑似韩国背景的APT-C-60网络间谍组织以国内和东亚国家为目标,利用WPS Office的两个零日漏洞(CVE-2024-7262和CVE-2024-7263)进行网络攻击,并部署了SpyGlace恶
继续阅读美航空管理服务系统存在严重SQL注入漏洞:允许未经授权人员绕过机场安检
美航空管理服务系统存在严重SQL注入漏洞:允许未经授权人员绕过机场安检 安全客 2024-09-02 12:11 最近,一项研究揭示了航空运输安全系统中的一个严重漏洞,该漏洞允许未经授权的人员绕过机场安检。Known Crewmember(KCM)和Cockpit Access Security System(CASS)是两个允许飞行员、空乘人员及其他航空公司员工绕过传统安检并进入机舱座位的系统。
继续阅读一个$1600赏金奖励的漏洞
一个$1600赏金奖励的漏洞 迪哥讲事 2024-09-01 22:23 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行分类,在这个过程中
继续阅读CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC
CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC 原创 合规渗透 合规渗透 2024-09-01 20:11 CVE-2024-21413 是影响 Microsoft Outlook 的关键远程代码执行 (RCE) 漏洞。 这个零日漏洞也称为“MonikerLink”错误,允许攻击者在受害者的机器上执行任意代码,而无需任何用户交互。 该漏洞是由恶意制作的电
继续阅读某系统存在默认凭据漏洞
某系统存在默认凭据漏洞 原创 儒道易行 儒道易行 2024-09-01 20:00 你生而有翼,为何竟愿一生匍匐前行,形如虫蚁。 访问漏洞url: 登录页面如下: 漏洞利用poc: 漏洞利用: 输入默认账号密码:guest/guest 登陆成功: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本
继续阅读【安全圈】微软曝光朝鲜黑客利用Google Chrome浏览器零日漏洞窃取加密货币
【安全圈】微软曝光朝鲜黑客利用Google Chrome浏览器零日漏洞窃取加密货币 安全圈 2024-09-01 19:00 关键词 黑客 据微软称,8 月早些时候,一个朝鲜黑客组织利用 Chrome 浏览器中一个此前未知的漏洞,以组织为目标,窃取加密货币。在周五发布的一份报告中 ,这家科技巨头的网络安全研究人员表示,他们在 8 月 19 日首次看到了黑客活动的证据,并称黑客隶属于一个名为 Cit
继续阅读「0day」金和OA C6 jQueryUploadify.ashx存在sql注入漏洞
「0day」金和OA C6 jQueryUploadify.ashx存在sql注入漏洞 原创 7coinSec 7coinSec 2024-09-01 18:59 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规
继续阅读2024年最新新小剧场短剧影视系统代码审计(RCE)
2024年最新新小剧场短剧影视系统代码审计(RCE) 原创 Mstir 星悦安全 2024-09-01 16:49 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **2024年最新新版小剧场短剧影视小程序源码+风口项目 ,短剧APP 小程序源码 风口项目 ,短剧app 小程序 H5 多端程序 对接了易支付,修复了众多BUG 目前已知BUG全部修复,看了下没有uniapp只有编译后的,
继续阅读人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测
人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测 原创 城北 渗透安全HackTwo 2024-09-01 12:12 前言 自动渗透测试 SmartScanner提供的自动渗透测试简化了评估计算机系统安全性的过程。本质上,它进行授权的模拟网络攻击,以评估系统对潜在威胁的防御能力。 使用SmartScanner,启动渗透测试毫不费力。只需输入您的网
继续阅读漏洞挖掘|自动备案批量查询脚本
漏洞挖掘|自动备案批量查询脚本 原创 zkaq – xuejiuhan 掌控安全EDU 2024-09-01 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 最近发现蛮多师傅在去挖补天、或者cnvd的时候,大批量去dump资产要证明归属,奈何一个一个的
继续阅读记一次某中学系统越权漏洞
记一次某中学系统越权漏洞 原创 zkaq-kpc 掌控安全EDU 2024-09-01 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – kpc 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、确定测试站点 资产的收集依旧是按照弱口令与注册进站的思路进行寻找(具体思路可参考上篇文章,含有完整的收集思路与个人信息搜集方
继续阅读开源软件中的加密漏洞
开源软件中的加密漏洞 GRCC IoVSecurity 2024-09-01 11:28 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 特斯拉安全漏洞的发现过程.ppt 车联网安全漏洞挖掘 了解软件漏洞生命周期.ppt
继续阅读实战|任意用户漏洞挖掘分享
实战|任意用户漏洞挖掘分享 0xh4ck3r 2024-09-01 09:44 这是一次在工作当中遇到的一次比较搞笑的任意用户登录漏洞,简单的记录一下,也结合了一下近期的任意登录案例进行一个复盘,旨在自身在开发过程中应注意代码规范,防患于未然。 (本文首发博客:https://sanshiok.com/archive/11.html) 登录框checklist 遇到登录框必检查的checklist
继续阅读「冷漠安全」八月份0day/1day/nday漏洞汇总
「冷漠安全」八月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-09-01 09:34 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读