Google 开源漏洞扫描系统 Tsunami
Google 开源漏洞扫描系统 Tsunami 橘猫学安全 2024-03-09 09:23 Google 开源漏洞扫描系统 Tsunami。引擎:http://t.cn/A6LoUUGV,插件:http://t.cn/A6yOE2eW 与其他漏洞扫描程序不同的是,Tsunami 本就是秉承着以大型企业为使用对象的初衷而进行构建的,旨在查找包含数十万个设备的大型网络中的漏洞。谷歌方面表示,其设计的
继续阅读标签: 漏洞
一款集成了JS接口提取漏洞扫描及内网渗透的工具
一款集成了JS接口提取漏洞扫描及内网渗透的工具 0x7eTeam 系统安全运维 2024-03-09 08:56 0x01 工具介绍 该工具就是作者练习javafx的产物,并没有高深莫测的功能,给自己的礼物。 0x02 功能简介基本内容 设置 代理—–推荐socksAPI配置基本工具 常用命令(爆破、文件上传、RDP相关、防火墙相关、Linux应急) 编码转换(Base6
继续阅读LeekSacn:一款可在线漏洞扫描的工具
LeekSacn:一款可在线漏洞扫描的工具 LemonSec 2024-03-09 08:45 说明: 说明:本软件暂时只支持 Windows 操作系统 用法:1. 启动后台service(需要管理员权限) 可通过下面命令验证是否启动成功:2. 启动前台web Web服务器暂时使用的是django自带的,后期需要重新部署。3.打开游览器,访问http://127.0.0.1:8000/首页是
继续阅读苹果修复了两个新的用于攻击iOS的零日漏洞
苹果修复了两个新的用于攻击iOS的零日漏洞 黑白之道 2024-03-09 08:14 Apple修复 两个iOS 零日漏洞 Apple发布了紧急安全更新,以修复两个在 iPhone 攻击中被利用的 iOS 零日漏洞 。 Apple在周二发布的咨询报告中表示:“苹果公司已获悉有关该问题可能已被利用的报告。” 这两个漏洞是在iOS 内核 (CVE-2024-23225) 和 RTKit (CVE-
继续阅读教育edusrc-越权漏洞案例集合
教育edusrc-越权漏洞案例集合 迪哥讲事 2024-03-08 23:20 免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1 清华大学越权漏洞 LOVE 通过越权漏洞修改他人信息 首先我们需要注册两个用户 用户1:Pwn777 用户2:Own777 之后我们登录用
继续阅读【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告
【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-08 18:03 漏洞名称: VMware ESXi 释放后使用漏洞等多个漏洞 组件名称: VMware ESXi 安全公告链接: https://www.vmware.com/security/advisories/VMSA-2024-0006.html 官方解决方案:
继续阅读JFrog Artifactory 多个漏洞威胁软件供应链安全
JFrog Artifactory 多个漏洞威胁软件供应链安全 DO SON 代码卫士 2024-03-08 14:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 JForg Artifactory 中存在多个安全漏洞,可导致软件开发管道遭攻陷。 这些漏洞简述如下: CVE-2023-42509:机密泄露 (CVSS 6.6)。该漏洞存在的原因是 Artifactory 管理仓库配置的
继续阅读思科修补 VPN 产品中的高严重性漏洞
思科修补 VPN 产品中的高严重性漏洞 安全客 2024-03-08 11:54 思科发布了针对 Secure Client 中两个高严重性漏洞的补丁,Secure Client 是一款企业 VPN 应用程序,还包含安全和监控功能。 第一个漏洞被追踪为 CVE-2024-20337,影响 Secure Client 的 Linux、macOS 和 Windows 版本,并且可以在不进行身份验证的情
继续阅读供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞 原创 悬镜安全情报中心 悬镜安全 2024-03-08 11:32 01 漏洞概况 Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。 2023年10
继续阅读CVE-2024-27198漏洞复现(POC)
CVE-2024-27198漏洞复现(POC) 原创 fgz AI与网安 2024-03-08 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 TeamCity 2023.11.3 及以下版本存在身份验证绕过漏洞 02 — 漏洞影响 J
继续阅读Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞
Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 NT-V NightmareV 2024-03-08 07:00 声明: 请勿使用本文档提供的相关 操作及工具 开展任何违法犯罪活动 。 本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!! 一、 漏洞名称 Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 二、 漏洞概述 Reporter内置报表管理
继续阅读最新Nessus2024.3.1.1版本主机漏洞扫描/探测工具下载Windows
最新Nessus2024.3.1.1版本主机漏洞扫描/探测工具下载Windows 原创 城北 渗透安全HackTwo 2024-03-08 00:01 前言 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。
继续阅读【漏洞预警】Apache InLong反序列化漏洞CVE-2024-26580
【漏洞预警】Apache InLong反序列化漏洞CVE-2024-26580 cexlife 飓风网络安全 2024-03-07 21:49 漏洞描述:ApacheInLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用,近日监测到ApacheInLong中修复了一个反序列化漏洞(
继续阅读【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199
【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199 cexlife 飓风网络安全 2024-03-07 21:49 漏洞描述:GitLab是一个开源的代码托管平台,用于代码管理和协作,CODEOWNERS是GitLab中的一个功能,允许项目维护者指定可以批准代码更改的人员,该功能旨在提高代码审核的安全性,并确保只有经过授权的人员才能合并代码更改,GitLab中存在一个身份认证绕过
继续阅读Aim Web API 远程代码执行
Aim Web API 远程代码执行 原创 Jacky jacky安全 2024-03-07 20:28 摘要 漏洞类型:远程代码执行(RCE) 产品:目标 版本:>= 3.0.0(afaik) 受影响的端点: /api/runs/search/run/ 严重性:临界 描述 在aim 项目中发现了一个关键的远程代码执行漏洞,特别是在/api/runs/search/run/ 端点中。该漏洞
继续阅读行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设
行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设 中国信息安全 2024-03-07 19:42 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,据中国移动发布的“中国移动云南分公司2023年新建漏洞管理平台研发项目漏洞平台”中标结果显示,绿盟科技以综合排名第一(196.63万元)成功中标。 网络安全领域漏洞管理始终是企业脆弱性风险管控的核心。
继续阅读【在野利用】Apple iOS 与 iPadOS 多个在野高危漏洞安全风险通告
【在野利用】Apple iOS 与 iPadOS 多个在野高危漏洞安全风险通告 网安百色 2024-03-07 19:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple iOS 与 iPadOS 多个在野高危漏洞 漏洞编号 CVE-2024-23296、CVE-2024-23225 公开时间 2024-03-05 影响量级 千万级 奇安信评级 高危 CVSS 3.
继续阅读【漏洞通告】Apache InLong反序列化漏洞(CVE-2024-26580)
【漏洞通告】Apache InLong反序列化漏洞(CVE-2024-26580) 网安百色 2024-03-07 19:30 一、漏洞概述 漏洞名称 Apache InLong反序列化漏洞 CVE ID CVE-2024-26580 漏洞类型 反序列化 发现时间 2024-03-07 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP
继续阅读【安全圈】Android发布3月更新,解决了38个漏洞
【安全圈】Android发布3月更新,解决了38个漏洞 安全圈 2024-03-07 19:00 关键词 安全更新 周一宣布的 Android 安全更新解决了 38 个漏洞,包括系统组件中的两个严重性问题。 这两个严重缺陷会影响 Android 12、12L、13 和 14,并被跟踪为 CVE-2024-0039 和 CVE-2024-23717,分别可能导致远程代码执行和权限提升。 “这些问题中
继续阅读TangGo测试平台|逻辑漏洞测试系列-垂直越权漏洞
TangGo测试平台|逻辑漏洞测试系列-垂直越权漏洞 糖果 无糖反网络犯罪研究中心 2024-03-07 18:30  组件名称: TeamCity 影响范围: TeamCity < 2023.11.4 漏洞类型: 身份认证绕过 利用条件:
继续阅读Laykefu客服系统任意文件上传漏洞复现(附POC)
Laykefu客服系统任意文件上传漏洞复现(附POC) AI与网安 2024-03-07 07:01 part.01 漏洞简介 Laykefu客服系统 /admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求中Cookie中的”user_name“不为空时即可绕过登录系统后台,未经身份验证的攻击者可利用此问题,上传后门文件,获取服务器权限。 part.02 漏洞复现
继续阅读【漏洞复现】CVE-2024-2074
【漏洞复现】CVE-2024-2074 原创 fgz AI与网安 2024-03-07 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Mini-Tmall SQL注入漏洞 02 — 漏洞影响 <= 20231017版本 03 —
继续阅读网络安全知识:漏洞管理五大原则(英国NCSC)
网络安全知识:漏洞管理五大原则(英国NCSC) 何威风 河南等级保护测评 2024-03-07 00:00 英国的 NCSC给出了一个关于漏洞管理的指导性文件,在面对系统漏洞时,全世界都存在着共同的问题,而方法论或许有些许不同,不过总体来说都是客观的处理方式。 我们译介过来,权当我们的他山之石,为我所用。 而其中国情不一致的地方,则采取拿来主义,取其精华去其糟粕即可。 所有系统都存在漏洞。它们可能
继续阅读【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088)
【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架,支持配置不同的链调用,langchain-experimental是一个用于研究和实验目的的Python包,由于langchain在load_chain中存在路径
继续阅读【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)
【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphe
继续阅读一次十分详细的漏洞挖掘记录,新思路+多个高危
一次十分详细的漏洞挖掘记录,新思路+多个高危 迪哥讲事 2024-03-06 22:01 “cookie中缺少了JSESSIONID,这时候我拿缺少JSESSIONID的包去修改userid居然发现成功了。Cookie变成了万能cookie,可以用于任意用户的信息修改。删除了JSESSIONID,创造了一个万能用户的标识。” 01 — 起因 最近补习班机构开设了一套机考系统,需要集赞才能够领取使用
继续阅读逻辑漏洞测试系列-水平越权漏洞
逻辑漏洞测试系列-水平越权漏洞 糖果 信安404 2024-03-06 20:16 **** **阅读须知** **本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所造成的直接或间接后果,及其所引发的损失,均由使用者承担。本文所提供的工具及方法仅用于学习,禁止
继续阅读